Ограничить количество ввода компьютеров в домен
Каждый пользователь домена, может ввести в домен до 10 компьютеров и устройств. К чему это может привести описывалось в статье «Запрет на ввод в домен компьютера с существующим именем» Для полного запрета этой возможности можно необходимо изменить атрибут ms-DS-CreatorSID. Для изменения атрибута нам понадобиться утилита редактирования ADSI.
Предупреждение
Следует помнить что использование утилиты редактирования ADSI при не правильном использовании может привести к необратимым последствиям. Microsoft не может гарантировать, что проблемы возникшие из-за использования утилиты могут быть решены в дальнейшем.
И так приступим. Запустим утилиту редактирования ADSI в качестве администратора домена. Развернем узел домена, он имеет вид DC=xxxx,DC=xx
и щелкнем по нему правой кнопкой мыши, а затем выберем Свойства
Нажмем кнопку Фильтр и поставим галочку Отображать только атрибуты, доступные для записи
В списке атрибутов найдем ms-DS-CreatorSID
Как мы видим у атрибута ms-DS-CreatorSID стоит значение 10, это значит что каждый пользователь домена может завести 10 рабочих станций, если вы не ограничили это иным способом, например через GPO.
Для изменения значения используем левую кнопку мыши и введем нужное нам значение. Для полного запрета измените атрибут на 0
Нажимаем ОК и закрываем консоль редактирования ADSI.
