Почему обычные пользователи могут подключать свои компьютеры к домену? Какие преимущества для повышения эффективности работы это предоставляет и какие потенциальные угрозы безопасности могут возникнуть?

⇓ Запись урока во ВКонтакте ⇓

Честно говоря, я сам лишь недавно узнал о том, что, по умолчанию, любой доменный пользователь может подключать рабочие станции к домену. Да, с ограничением в 10 штук, но все же. И началось это аж с Windows Server 2008.

Давайте разберемся, какие доводы привели разработчиков Microsoft к такой идее и какие риски могут быть с этим связаны?

• + Упрощение администрирования - так или иначе все доводы, которые приводят разработчики упирается в прощение администрирование с целью снизить нагрузку на системных администраторов, которые могут сосредоточиться на более важных задачах. 
•  - Увеличение уязвимостей - обычные пользователи могут случайно или намеренно добавлять компьютеры с уязвимостями, которые могут быть использованы злоумышленниками для доступа к сети. Если эти устройства не защищены должным образом, они могут стать точками входа для сетевых атак;
• - Компрометация данных - определенные корпоративные данные могут храниться в файлах, доступных всем участникам домена;
• - Упрощение атак - злоумышленники могут использовать методы, для захвата учетных данных и получения доступа к контроллеру домена;
• - Увеличение нагрузки на администраторов - при наличии большого количества устройств, подключенных к домену без контроля, администраторам становится сложнее отслеживать и управлять безопасностью сети.

Я считаю, что никакие преимущества в упрощении администрирования не могут компенсировать потенциальные риски для информационной безопасности компании. Поэтому, по умолчанию, такой функционал следует отключить, а если возникнет реальная необходимость в его использовании, его можно будет включить вручную, при этом понимая все возможные последствия.

Поэтому сейчас давайте перейдем к практике и отключим возможность обычным пользователям домена присоединять компьютеры к домену.

Для начала проверим, действительно ли обычные пользователи могу подключать любую рабочую станцию к домену (Windows 11 \ Проводник \ Этот компьютер \ ПКМ \ Свойства \ Домен или рабочая группа \ Изменить \ Является членом домена: office.loc \ Введите имя и пароль учетной записи с правами на присоединение к домену: sysadmin \ Добро пожаловать в домен \ ОК \ Перезагружаемся)

Зайдем на сервер и проверим, действительно ли учетная запись sysadmin является обычной учеткой домена и появился ли новый компьютер в нашем домене (Windows Server 2025 \ Диспетчер серверов \ Средства \ Пользователи и компьютеры Active Directory \ Computers \ Windows-11 \ Users \ Севостьянов Антон \ Член группы: Пользователи домена)

Я верну системы к контрольным точкам, где компьютер еще не добавлен к домену (Диспетчер снимков состояния \ Выбираем контрольную точку \ Переход \ Да)

Так же можем посмотреть на сервере, что этой машины действительно нет в домене (Windows Server 2025 \ Диспетчер серверов \ Средства \ Пользователи и компьютеры Active Directory \ Computers)

Теперь запретим обычным пользователям подключать машины к домену!

ПРЕДУПРЕЖДАЮ: перед выполнением этих действий обязательно создайте резервную копию сервера, чтобы избежать случайного изменения лишних атрибутов. Также рекомендую сначала протестировать все в тестовой среде, как делаю это я!

(Windows Server 2025 \ Диспетчер серверов \ Средства \ Пользователи и компьютеры Active Directory \ office.loc \ ПКМ \ Редактор атрибутов, если данного пункта нет, то необходимо включить отображение дополнительных компонентов \ Пользователи и компьютеры Active Directory \ Вид \ Дополнительные компоненты \ office.loc \ ПКМ \ Редактор атрибутов \ ms-DS-MachineAccountQuota \ Изменить \ 0 \ Применить \ ОК)

Проверим, можно ли теперь обычным пользователям подключать машины к домену (Windows 11 \ Проводник \ Этот компьютер \ ПКМ \ Свойства \ Домен или рабочая группа \ Изменить \ Является членом домена: office.loc \ Введите имя и пароль учетной записи с правами на присоединение к домену: sysadmin)

Появляется ошибка: При присоединении к домену произошла следующая ошибка: Компьютер не может быть присоединен к домену. На этом домене превышено максимальное допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

Попробуем указать учетную запись администратора домена (Изменить \ Является членом домена: office.loc \ Введите имя и пароль учетной записи с правами на присоединение к домену: администратор \ Пароль \ ОК \ Добро пожаловать в домен office.loc \ ОК)

Посмотрим на сервере, появилась ли машина (Windows Server 2025 \ Диспетчер серверов \ Средства \ Пользователи и компьютеры Active Directory \ Computers \ Windows-11)

Отлично, машина появилась, а значит мы все сделали правильно.

Так же, не забудьте отключить отображение дополнительных компонентов, чтобы пользоваться ими только в особых случаях (Пользователи и компьютеры Active Directory \ Вид \ Дополнительные компоненты)

А на этом у меня все, всем спасибо и до новых встреч!