نمایش نتایج: از شماره 1 تا 2 از مجموع 2
سپاس ها 9سپاس
  • 6 توسط Hanif
  • 3 توسط th95

موضوع: حذف قابلیت جوین کردن ۱۰ کامپیوتر به دومین توسط یوزرها

  
  1. #1
    نام حقيقي: Hanif Farahnak

    عضو ویژه
    تاریخ عضویت
    Feb 2010
    محل سکونت
    تهـــــران
    نوشته
    1,545
    سپاسگزاری شده
    1399
    سپاسگزاری کرده
    1169

    حذف قابلیت جوین کردن ۱۰ کامپیوتر به دومین توسط یوزرها

    به صورت استاندارد هر یوزر شناسایی یا تصدیق شده authenticated User میتواند ۱۰کامپیوتر را به دومین Join کند .
    اگر بخواهیم این قابلیت را برای یوزرها حذف کنیم، از راه زیر استفاده میکنیم .
    کنسول ADSIEdit را باز میکنیم .




    بعد از باز شدن کنسول، روی ADSIEdit کلیک سمت راست موس را کرده و Connect to را انتخاب میکنیم .


    Default naming context
    را انتخاب کرده و OK را کلیک میکنیم .




    حالا روی نام دومین DC=Contoso,DC=Com کلیک سمت راست کرده و Properties را کلیک میکنیم .


    حالا ms-DS-MachineAccountQuota را پیدا میکنیم. همانطور که میبینید، مقدار آن به صورت استاندارد ۱۰میباشد .


    مقدار آن را به صفر 0 تغییر داده و OK را کلیک میکنیم .


    از این به بعد یوزرها دیگر نمیتوانند کامپیوتر به دومین Join کنند. اگر میخواهید به یک یوزر یا گروه قابلیت Join کردن کامپیوتر به دومین را بدهید، از Active Directory Delegation استفاده کنید

    منبع : microsoft




    موضوعات مشابه:
    HRST، hellion_m، behyal و 3 نفر دیگر سپاسگزاری کرده‌اند.
    hanif.farahnak [a t] gmail.com

  2. #2
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5758
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    لینک زیر در خصوص اینکه چگونه بررسی میشود فرد دارای دسترسی جوین سیستم به دومین هست یا خیر توضیحات بسیار خوبی ارائه داده

    msresource.net - INFO: How does mS-DS-MachineAccountQuota work?


    Permissions Validation

    When a user attempts to join a computer to the domain, the authenticating Domain Controller checks to see if the user context performing the operation has the CREATE_CHILD permission for computer objects on the parent container (by default this is CN=Computers, DC=DNS-domain-name, however this can be redirected in 2003 functional mode). If the user context has this permission the check succeeds and the user can add the workstation to the domain without exception. If the user context doesn't have [computer] CREATE_CHILD permissions, then the user right SE_MACHINE_ACCOUNT_PRIVILEGE (Add workstations to the domain) is checked. If the user has this right, then the user can continue to add the workstation to the domain if the quota defined is not exceeded. If the user doesn't have this right, then the user cannot add a workstation to the domain.

    Note. By default, the Authenticated Users security principal has the right SE_MACHINE_ACCOUNT_PRIVILEGE.
    This series of events looks something like this:
    • User attempts to join machine to the domain (local administrator permissions required)
    • Domain Controller checks to see if user has permissions to create computer objects in the default computers container.
    • If the user has the necessary permissions, ms-DS-MachineAccountQuota is not checked. Operation will succeed.
    • If the user doesn't have the necessary permissions, the Domain Controller checks to see if the user has the user right "Join workstations to the domain".
    • If the user has the necessary right, ms-DS-MachineAccountQuota is checked. Operation will succeed if the number of objects created by this user is less than that defined in ms-DS-MachineAccountQuota.
    • If the user has neither the create computer object permission or join workstations to the domain right then the operation will fail and the user is notified that they do not have permissions to carry out the request. If the user has the right Join workstations to the domain but has exceeded the value defined in ms-DS-MachineAccountQuota then the operation fails and the user is notified that he/ she cannot join any more machines to the domain.


    Quota Validation

    If the necessary permissions are not held by the user in question, the Domain Controller then checks to see if the user is allowed to add this computer to the domain based on the domain-quota for domain membership additions. To do this check, the Domain Controller searches the domain for any computer objects where the ms-DS-CreatorSID equals the objectSID of the user performing the operation. If the number of computers returned by the query is less than the quota defined in ms-DS-MachineAccountQuota then the account is created, the ms-DS-CreatorSID attribute is stamped with the SID of the user (objectSID) and the owner of the new computer object is set to Domain Admins.

    Note. ms-DS-CreatorSID is indexed, therefore this is a very fast search.
    This series of events looks something like this:
    • User allowed to create computer objects if quota not exceeded, therefore check quota
    • If (&(objectCategory=computer)(ms-DS-CreatorSID=objectSID)) returns fewer results than the value of ms-DS-MachineAccountQuota then
    • Create computer, set ms-DS-CreatorSID to the SID of the user and set Domain Admins as the owner


    Note. Due to the way that this works, the quota is only loosely enforced. That is, a user cannot add more computers to the domain than the quota if all previous computer accounts created exist. In addition, it might be possible to add one or two computers that actually exceed the value defined in the quota.

    As an example, if a computer account was created in the past and the computer decommissioned (and the object removed from Active Directory) then the count returned by the LDAP query will be number of computers joined to the domain - number of computer objects that were joined but are no longer in the directory. Which means another computer can be added.

    As another example, it is also possible that more than the quota value can be added if the user in question were able to target multiple Domain Controllers within the replication latency. However, this isn't really easy to do and wouldn't cause much of an exception to the quota if it did happen.


    Hanif، mavrick و fireboy007 سپاسگزاری کرده‌اند.

کلمات کلیدی در جستجوها:

مراحل جوین کردن یک سیستم به ویندوز سرور 2003

delegation یوزر برای جوین به دامین

دسترسی به اکانت با قابلیت join کردن به دامین

طریقه گرفتن deligation یک یوزر به ou

جوین سیستمها به دامین

جوین کردن یوزر به دومین

کامپیوتر یوزر را از دامین خارج کرد

نحوه جوين كردن يوزرها براي سرور 2012

نحوه جوین دومین کردن

یوزر برای جوین کردن دامین

مجوز جوین کردن به دامین

کد کامپیوتر attrib -h -s d s

جوین دامین کردن بیش از 10 یوسرآدمین در میندوز سرور

آموزش خارج شدن از دومين در شبكه

حذف کردن Quota

دسترسی به یوزر جهت جوین کردن

گروه و یوزر و جوین کردن در ویندوز سرور 2012

برای چه یوزرها را join به دامین میکنیم؟

نحوه خارج کردن یک کامپیوتر از دامین از اکتیو دایرکتوری

دسترسیها جوین کردن در دامین کنترلر به یوزر

جوین کردن توسط یوزر

عضویت 10 کامپیوتر به دامنه به صورت استاندارد

جوین کردن کامپیوتر به اکتیودایرکتوری

خارج کردن کامپیوتر از دومین

ریموو کردن replication در اکتیو دایرکتوری

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •