martes, 28 de octubre de 2014

Limitar la introducción de equipos en un dominio

Hola.

Este es uno de los primeros cambios a realizar cuando creamos un nuevo dominio y aprovechando que he tenido que hacerlo, aquí os lo dejo documentado.

En mi caso, siempre he sugerido mantener la inclusión de equipos en dominio de forma nominal al tiempo que creamos un usuario con este privilegio para incluir en la maqueta corporativa creada en MDT, SCCM, etc.

Vamos a utilizar este nuevo usuario para ver un ejemplo del encadenamiento que vamos a crear.

También vamos a mantener este privilegio a los usuarios administradores del dominio.

  1. Creamos el usuario en cuestión

image

2. Creamos el grupo que tendrá este privilegio:

image

3. Nos vamos a la directiva general

En COMPUTER CONFIGURATION-POLICIES-WINDOWS SETTINGS-SECURITY SETTING-LOCAL POLICIES-USERS RIGHT ASSIGNMENT – Incluimos el grupo que hemos generado y mantenemos a los administradores del dominio.

image

Ahora vendría la segunda parte y es que los usuarios tienen limitado a 10 el número de equipos que pueden meter con sus credencias, tendríamos entonces que extender esta limitación.

Vamos a la consola ADSI-Edit

  • Botón derecho sobre el dominio y click en Propiedades.
  • Nos iríamos al atributo del dominio ms-ds-machinneaccountquota
  • Cambiamos el número 10 por el valor máximo que permite.

imageimage

Aceptamos los cambios.

Saludos.