Потенційно в домені Active Directory існує потенційна дірка в безпеці. Суть її в тому, що за замовчуванням кожен користувач не володіє правами адміністратора може ввести в домен до 10 персональних пристроїв. З одного боку це зручно, оскільки позбавляє адміністратора домену або групу технічної підтримки від необхідності кожного разу особисто здійснювати введення комп'ютерів в домен Active Directory. але несе в собі загрозу неусвідомлених, а місцями цілеспрямованих деструктивних дій.
У чому ж полягає проблема? Припустимо що в домені є якась кількість ПК відповідають певним вимогам в іменуванні об'єкта «комп'ютер», користувач по не знанню або спеціально привласнює свого комп'ютера вже існуюче ім'я і здійснює його введення в домен. У процесі додавання комп'ютера з уже існуючим ім'ям відбувається так званий «скидання пароля облікового запису комп'ютера», іншими словами старий комп'ютер з таким же ім'ям вже не може увійти в домен і повідомляє при спробі введення логіна пароля:
«Не вдалося встановити довірчі відносини між цією робочою станцією і основним доменом»
Для виключення повторного додавання комп'ютера в домен з уже існуючим ім'ям, необхідно встановити жорсткий заборона на «скидання пароля» для об'єктів «комп'ютер». Дана процедура не завадить створювати нові об'єкти «комп'ютер», але запобіжить несанкціоновану заміну старих.
Дане завдання реалізується через об'єкт групової політики:
Член домену: відключити зміну пароля облікових записів комп'ютера
розташований: Конфігурація комп'ютера \ Політики \ Конфігурація Windows \ Параметри безпеки \ Локальні політики \ Параметрибезопасності
перекладом вище означеної GPO в стан Включено.
Дана GPO налаштовує періодична зміна пароля облікового запису комп'ютера члена домену.
- При включенні цього параметра член домену не намагається змінити пароль облікового запису комп'ютера. кожні 30 днів, а використовує в своїх транзакціях постійний пароль отриманий при створенні об'єкта комп'ютер в домен Active Directory
- Якщо цей параметр відключений, член домену намагається змінити пароль облікового запису комп'ютера за значенням параметра «Член домену: максимальний термін дії пароля облікового запису комп'ютера», що має за замовчуванням значення «кожні 30 днів».
За замовчуванням ця GPO відключена.
Можливо це теж цікаво:
Навігація по публікаціям
«Користувач не володіє правами адміністратора може ввести в домен до 10 персональних пристроїв.»
Питається. Яким млять чином, користувач з правами тільки Читання в домені може внести зміну в ньому.
З приводу
«Не вдалося встановити довірчі відносини між цією робочою станцією і основним доменом»
Давно вже відомо чому таке відбувається.
Якщо під час роботи смикнути харчування компа, і потім під час завантаження прогавити момент коли система запропонує відновитися, а адмін забув вимкнути сію фичу дрібном'який, то система відкотиться зовсім чуть чуть, і в цей час зміниться ID системи, яке приблизно раз на місяць змінюється, і тоді вилізе цей косяк.
Вирішується простим відключенням відновлення системи при перезавантаженні.
І так, в ці казки вище вірять хом'ячки і вважають себе богами.
1. Будь-який користувач домену має право ввести 10 комп'ютерів в домен, це дефолтна політика MS, якщо адміністратор її НЕ урізує спеціально.
2. З приводу «Не вдалося встановити довірчі відносини» - в статті написано все правильно, в описаному Вами випадку відбувається те ж саме, відкочується пароль учеткі комп'ютера. І що Ви маєте на увазі під ID системи? Є SID ідентифікатори.
Судячи з усього, хом'ячок тут Ви, Костянтин.