AD - Запрет на ввод в домен компьютера с существующим именем

Запрет на ввод в домен компьютера с существующим именем

Потенциально в домене Active Directory существует потенциальная дыра в безопасности. Суть ее в том, что по умолчанию каждый пользователь не обладающий правами администратора может ввести в домен до 10 персональных устройств. С одной стороны это удобно, так как избавляет администратора домена или группу технической поддержки от необходимости каждый раз лично осуществлять ввод компьютеров в домен Active Directory , но несет в себе угрозу неосознанных, а местами целенаправленных деструктивных действий.

В чем же заключается проблема? Предположим что в домене имеется какое-то количество ПК отвечающих определенным требованиям в именовании объекта «компьютер», пользователь по не знанию или специально присваивает своему компьютеру уже существующее имя и осуществляет его ввод в домен. В процессе добавления компьютера с уже существующим именем происходит так называемый «сброс пароля учетной записи компьютера», иными словами старый компьютер с таким же именем уже не может войти в домен и сообщает при попытке ввода логина пароля:

«Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

Для исключения повторного добавление компьютера в домен с уже существующим именем, необходимо установить жесткий запрет на «сброс пароля» для объектов «компьютер». Данная процедура не помешает создавать новые объекты «компьютер», но предотвратит несанкционированную замену старых.

Данная задача реализуется через объект групповой политики:

Член домена: отключить изменение пароля учетных записей компьютера

расположенный: Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности

переводом выше обозначенной GPO в состояние Включено.

Данная GPO настраивает периодическое изменение пароля учетной записи компьютера члена домена.

• При включении этого параметра член домена не пытается изменить пароль учетной записи компьютера. каждые 30 дней, а использует в своих транзакциях постоянный пароль полученный при создании объекта компьютер в домене Active Directory
• Если этот параметр отключен, член домена пытается изменить пароль учетной записи компьютера согласно значению параметра «Член домена: максимальный срок действия пароля учетной записи компьютера», имеющего по умолчанию значение «каждые 30 дней».

По умолчанию данная GPO отключена.

При использовании данной GPO необходимо помнить, что пароли учетных записей компьютеров используются для настройки безопасных каналов связи между членами домена и контроллерами домена, а также между самими контроллерами внутри домена. После установки связи безопасный, защищенный канал используется для передачи конфиденциальных данных, необходимых для выполнения проверки подлинности и авторизации.