תהליך הצטרפות ל-Domain:
בכדי להצטרף ל-Domain, מערכת ההפעלה צריכה חשבון מחשב. מערכת ההפעלה מנסה להשיג חשבון מחשב משלה בשיטות הבאות:
- חיפוש חשבון קיים בעל שם זהה לשלו ובמידה ונמצא חשבון תואם (שהוא ב-Disable), אז מערכת ההפעלה תנסה לקחת בעלות על חשבון זה.
- כברירת מחדל מערכת ההפעלה תנסה ליצור חשבון חדש באמצעות הרשאות המשתמש.
- המחשבים מנסים להשתמש בהרשאה שנקראת “Add workstations to domain” בכדי ליצור חשבון חדש בContainer של המחשבים המוגדר כברירת מחדל.
הסבר על הרשאת “Add workstations to domain”:
הכוונה היא שמשתמשי הקצה יצרפו את תחנות העבודה שלהם ל-Domain, ככל הנראה כדי להפחית את העומס על אנשי ה-IT. ובכדי שזה יעבוד, מוקצה לשרת ה- DC הרשאת משתמש בשם “Add workstations to domain” כברירת מחדל.
בגלל ש-Authenticated users חבר בקבוצה זו, כל משתמשי ה-Domain יכולים להשתמש בהרשאה זו. מכיוון שכל משתמש שאנחנו יוצרים בActive Directory כברירת מחדל הוא מצטרף אל קבוצת ” Authenticated users “.
• כברירת מחדל משתמשים בעלי הרשאה זו יכולים לצרף עד 10 מחשבים חדשים ל-Domain.
• במאמר זה אני אציג לכם 2 שיטות שבעזרתן ניתן לבטל את הגדרה זו.
• בנוסף בסוף המאמר אראה לכם כמה פקודות הקשורות לצירוף מחשבים ל-Domain, כמו איך לבדוק האם משתמשים רגילים צרפו מחשבים חדשים ל-Domain, בדיקת של כמה מחשבים משתמש יכול לצרף ל-Domain וכו’.
שיטה 1:
-
נפתח את ADSI Edit, ( Start > Run > adsiedit.msc)
-
קליק ימני על ADSI Edit ונלחץ על “Connect to”
-
תבחרו ב-“Default naming context” תחת האפשרות “select well known naming context “
ולחצו OK.
4. קליק ימני על ה-Domain שלכם ולאחר מכן לחצו על “Properties”.
- חפשו את הערך “ms-DS-MachineAccountQuota” ושנו אותו מ-10 ל-0 ולאחר מכן לחצו OK.
- עכשיו כשמשתמשים רגילים ינסו לבצע חיבור מחשבים ל-Domain הם יקבלו הודעת שגיאה שבה רשום שאין להם הרשאה לצרף את המחשב ל-Domain.
שיטה 2:
- נפתח את Group Policy Management Console דרך – Start > Run > gpmc.msc
- לחצו Edit על-“Default Domain Controllers Policy”
- תמצאו את “User Rights Assignment” דרך הנתיב הבא
Computer Configuration → Policies → Windows Settings → Security Settings → User Rights Assignment
4. לחצו על “User Rights Assignment” הסירו את קבוצת “Authenticated users”
תבחרו את הקבוצות שאתם רוצים שרק להם תהיה הרשאה לצרף מחשבים חדשים ל-Domain
PowerShell Commands:
1. בכדי לבצע בדיקה של כמה מחשבים משתמש יכול לצרף ל-Domain, הריצו את הפקודה הבאה:
get-addomain | select -exp DistinguishedName | get-adobject -prop ‘ms-DS-MachineAccountQuota’ | select -exp ms-DS-MachineAccountQuota
2. בכדי למצוא את כל המחשבים שנוספו ל-Domain ע”י משתמשים רגילים, הריצו את הפקודה הבאה:
Get-ADComputer -fi {ms-DS-CreatorSID -like ‘*’}
3. במידה ואתם רוצים לבדוק אלו מחשבים חדשים משתמש ספציפי הוסיף ל-Domain הריצו את הפקודות הבאה:
$sid = (get-aduser matan.siga).SID
Get-ADComputer -fi {ms-DS-CreatorSID -eq $sid}
• במקום ” matan.siga” תכניסו את שם המשתמש שאתם רוצים לבצע עליו את הבדיקה.
4. בכדי לקבל טבלה מסודרת של כל המשתמשים שצירפו מחשבים וכמה מחשבים הם צירפו, הריצו את ה-Script הבא:
get-adcomputer -fi {ms-DS-CreatorSID -like ‘*’} -prop ms-DS-CreatorSID | group ms-DS-CreatorSID | %{
$ret = $_ | select Count,@{name=‘UserName’;Expression={$.Name}},@{name=‘ComputerNames’;Expression={$.Group | select -exp Name}}
# Try to resolve the SID into an account
try{
$.Name = $.Name.Translate([System.Security.Principal.NTAccount])
}catch{}
$ret
}
This Article Was Written By Matan Sigavker.