Квота на присоединение компьютеров к домену

По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.


Если превысить эту квоту, то при добавлении компьютера в домен пользователь получит сообщение о ошибке :

Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

За размер квоты отвечает атрибут пользователя ms-DS-MachineAccountQuota. Считается квота следующим образом: в учетной записи компьютера (а не пользователя) есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя, заводившего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер в домен, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то компьютер подключается к домену, иначе появляется приведенная выше ошибка. Квота носит относительный характер, т.е. считаются не все учетные записи компьютеров, когда либо заведенные пользователем,  а только существующие в домене на данный момент.

Есть несколько способов обойти квоту.

Предварительное создание учетной записи компьютера

  • Открываем оснастку «Active Directory — пользователи и компьютеры».
  •  Щелкаем правой кнопкой мыши на контейнере, в котором планируется создавать учетную запись и выбираем пункт Создать — Компьютер.
  •  В открывшемся окне вводим имя компьютера, который необходимо добавить в домен.
  • Жмем на кнопку Изменить и выбираем пользователя или группу, от имени которого производится присоединение к домену. При выборе имейте ввиду, что квота не распространяется только на членов группы Администраторы домена (Domain admins) и тех пользователей, которым делегированы права на управление данным контейнером.
  •  Далее жмем OK и учетная запись компьютера создана, а в значении атрибута ms-DS-CreatorSID будет указан SID того пользователя, от имени которого заводилась учетная запись в AD, а не того кто физически подключал компьютер к домену.

  • Предварительное создание учетной записи компьютера

    Достоинство этого способа в том, что мы сразу создаем учетную запись в нужном нам контейнере, а не в контейнере Computers (контейнер для компьютеров по умолчанию). Однако он более трудоемок, чем остальные, ведь таким образом придется создавать учетку для каждого нового компьютера.

    Делегирование прав на создание и удаление учетных записей компьютеров

    •  Открываем оснастку «Active Directory — пользователи и компьютеры».
    • Щелкаем правой кнопкой мыши на контейнере Computers и выбираем пункт «Делегирование управления».
    • В мастере делегирования управления выбираем пользователя или группу, которой доверим создавать учетные записи компьютеров. Правильным решением, на мой взгляд, будет создать для этой цели отдельную группу.


    выбор группы для делегирования управления

    • В следующем окне отмечаем пункт «Создать особую задачу для делегирования», т.к. в стандартных задачах нет возможности выбрать создание и удаление учетных записей компьютеров.


    выбор особой задачи для делегирования

    •  Отмечаем пункт «Разрешения для создания и удаления дочерних объектов» и выбираем из списка пункты «Создание объекта компьютер» и «Удаление объекта компьютер».


    создаем особую задачу для делегирования

    • Жмем кнопку Далее, затем Готово. Делегирование создано, и теперь на выбранных пользователей квота не распространяется.

    По моему, наиболее оптимальный способ, достаточно один раз создать группу и делегировать ей полномочия, а затем при необходимости просто добавлять в нее пользователей.

    Изменение установленной по умолчанию квоты

    • Заходим в меню Пуск — Администрирование и выбираем пункт «Редактирование ADSI» (ADSIEdit).


    открываем Adsiedit

    • Подключаемся к контесту именования домена по умолчанию.


    подключение к контексту именования по умолчанию

    • Подключившись, щелкаем правой кнопкой мыши на нашем домене и в контекстном меню выбираем пункт «Свойства».


    открываем свойства домена

    • Находим в свойствах атрибут ms-DS-MachineAccountQuota и изменяем его значение на нужное нам.


    изменение значения атрибута ms-DS-MachineAccountQuota

    • Сохраняем значение и закрываем оснастку. Квота на добавление компьютеров изменена, причем изменения будут действовать на всех пользователей, прошедших проверку (группа Autentificated Users).

    Способ довольно экстремальный, ведь ADSIEdit — инструмент очень мощный, и его неправильное применение может привести к серьезным последствиям.  Хотя, если четко понимать свои действия, то этот пособ ничем не хуже остальных. В любом случае выбирать вам.

    Отправка комментария

    0 Комментарии