最近知ったのですが、Windows Server 2012で構築したAD環境において、ドメインユーザ(一般権限)でコンピュータをドメインに参加できる事を知りました。(※Windows Server 2008 R2も同様です。)
つまり、ユーザー自身でドメイン再参加ができてしまうのです。
これまで管理者権限でしかドメイン参加などの作業をした事がなかったので、ちょっと驚きでした。
デフォルトでは、「Domain Controllers」OUにリンクされた「Default Domain Controllers Policy」というGPOにの設定に「ドメインにワークステーションを追加」という項目があり、「Authenticated Users」グループが割り当てられています。
ちなみに、設定は場所は以下になります。
【GPOの設定場所】
「コンピューターの構成」
∟「Windowsの設定」
∟「セキュリティの設定」
∟「ローカルポリシー]
∟「ユーザー権利の割り当て」
∟「ドメインにワークステーションを追加」
また、ドメインユーザ権限でドメインに参加できるコンピュータの台数が制限されていて、デフォルトでは”10回”です。
以下は、グループポリシーから抜粋。
-----------------------
コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。
また、"ドメインにワークステーションを追加" を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。
一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。
コンテナーでのアクセス許可を持つユーザーが、"ドメインにワークステーションを追加" ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。
-----------------------
設定は「adsiedit.msc」を使って確認、値を変更する事ができます。
【確認手順】
①コマンドプロンプトで「adsiedit.msc」を実行。
②「ADSIエディター」が起動するので、
「既定の名前つけコンテキスト[XXX.domain name]」
∟「DC=XXXX.,DC=YYYY」を右クリックし、「プロパティ」をクリック。
③「MachineAccountQuota」の値を確認。
※「0」にすると無効になります。
ユーザーにドメイン参加の権限、回数など、制限をかけたい場合は、参考してみてください。