Muchos administradores de sistemas creen que solo una cuenta que sea miembro del grupo administradores del dominio puede añadir equipos al dominio de Active Directory.
La respuesta es que por defecto, cualquier usuario puede añadir un equipo al dominio.
Existe una directiva de grupo (GPO) de equipo donde se define quien puede añadir equipos al dominio de Active Directory.
La ubicación de esta directiva de grupo (GPO) es la siguiente:
Configuración de equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas locales - Asignación de derechos
Agregar estaciones de trabajo al dominio
Si repasamos la pestaña "Explicación" de esta GPO, veremos que por defecto el grupo: "Usuarios autentificados" tiene los derechos para añadir equipos al dominio:
La explicación es la siguiente:
Agregar estaciones de trabajo al dominio
Esta configuración de seguridad determina qué grupos o usuarios pueden agregar estaciones de trabajo a un dominio.
Esta configuración de seguridad solo es válida en controladores de dominio. De forma predeterminada, cualquier usuario autenticado tiene este derecho y puede crear hasta 10 cuentas de equipo en el dominio.
Agregar una cuenta de equipo al dominio permite al equipo participar en una red basada en Active Directory. Por ejemplo, agregar una estación de trabajo a un dominio permite a la estación de trabajo reconocer cuentas y grupos de Active Directory.
Valor predeterminado: Usuarios autenticados en controladores de dominio.
Nota: los usuarios que disponen del permiso para crear objetos de equipo en el contenedor de equipos de Active Directory también pueden crear cuentas de equipo en el dominio. La distinción consiste en que los usuarios con permisos en el contenedor no están restringidos a la creación de solamente 10 cuentas de equipo. Además, las cuentas de equipo creadas por medio de Agregar estaciones de trabajo al dominio tienen a los administradores de dominio como propietarios de la cuenta de equipo, mientas que las cuentas de equipo creadas por medio de permisos en el contenedor de equipos tienen al creador como propietario de la cuenta de equipo. Si un usuario tiene permisos en el contenedor y también cuenta con el derecho de usuario Agregar estaciones de trabajo al dominio, el equipo se agrega en función de los permisos del contenedor de equipos en lugar de hacerlo en función del derecho de usuario.
Si repasamos el texto de la explicación, veremos que:
1) Por defecto, el grupo "Usuarios autentificados", es decir cualquier usuario que pueda iniciar sesión en el dominio, tiene derechos para añadir equipos al dominio.
2) Por defecto, cada usuario podrá añadir solo 10 equipos al dominio.
Windows: ¿Quién puede añadir equipos al dominio?: ¿Dónde se configura?
Existe una directiva de grupo (GPO) de equipo donde se define quien puede añadir equipos al dominio de Active Directory.
La ubicación de esta directiva de grupo (GPO) es la siguiente:
Configuración de equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas locales - Asignación de derechos
Agregar estaciones de trabajo al dominio
Windows: ¿Quién puede añadir equipos al dominio?: ¿Cuál es el valor predeterminado?
Si repasamos la pestaña "Explicación" de esta GPO, veremos que por defecto el grupo: "Usuarios autentificados" tiene los derechos para añadir equipos al dominio:
La explicación es la siguiente:
Agregar estaciones de trabajo al dominio
Esta configuración de seguridad determina qué grupos o usuarios pueden agregar estaciones de trabajo a un dominio.
Esta configuración de seguridad solo es válida en controladores de dominio. De forma predeterminada, cualquier usuario autenticado tiene este derecho y puede crear hasta 10 cuentas de equipo en el dominio.
Agregar una cuenta de equipo al dominio permite al equipo participar en una red basada en Active Directory. Por ejemplo, agregar una estación de trabajo a un dominio permite a la estación de trabajo reconocer cuentas y grupos de Active Directory.
Valor predeterminado: Usuarios autenticados en controladores de dominio.
Nota: los usuarios que disponen del permiso para crear objetos de equipo en el contenedor de equipos de Active Directory también pueden crear cuentas de equipo en el dominio. La distinción consiste en que los usuarios con permisos en el contenedor no están restringidos a la creación de solamente 10 cuentas de equipo. Además, las cuentas de equipo creadas por medio de Agregar estaciones de trabajo al dominio tienen a los administradores de dominio como propietarios de la cuenta de equipo, mientas que las cuentas de equipo creadas por medio de permisos en el contenedor de equipos tienen al creador como propietario de la cuenta de equipo. Si un usuario tiene permisos en el contenedor y también cuenta con el derecho de usuario Agregar estaciones de trabajo al dominio, el equipo se agrega en función de los permisos del contenedor de equipos en lugar de hacerlo en función del derecho de usuario.
Si repasamos el texto de la explicación, veremos que:
1) Por defecto, el grupo "Usuarios autentificados", es decir cualquier usuario que pueda iniciar sesión en el dominio, tiene derechos para añadir equipos al dominio.
2) Por defecto, cada usuario podrá añadir solo 10 equipos al dominio.
No hay comentarios:
Publicar un comentario