是否可以限制AD域中的谁可以将计算机连接到域上？

Question

我们正努力阻止用户将VM和外部机器加入到我们的域名中。默认情况下，任何用户最多可以连接10台机器。是否有办法将其仅限于帐户操作员、域管理员和企业管理员？

Answer 1

进入您的域安全Policy>Local Policy>User权限分配，并将“将工作站添加到域”更改为您想要的组。

Answer 2

我相信在这两篇MSKB文章中引用了您正在寻找的内容：

• 用户可以加入域的工作站数目的默认限制
• 域用户不能将工作站或服务器连接到域 (查找位置)

第一篇文章详细介绍了如何在Adsiedit.msc中更改默认值(Domain，选择正确的项，Properties，查看ms-DS-MachineAccountQuota，编辑属性以更改该值)。

我还看到有人提到在默认的域控制器策略\用户权限分配下有一个组策略，但是我不是一个好的地方去挖掘它来验证。

Answer 3

您看过这：

有一个组策略可以更改谁有权向域添加机器。我现在不在服务器前面，但是如果我没记错的话，这是很容易改变的。

KCotreau的回答显示了我详细提到的组策略变化。