[QUIZZ] Qui peut ajouter un ordinateur dans un domaine AD ?

Les administrateurs du domaine bien sûr !

Oui, mais pas seulement.

Les utilisateurs authentifiés, par défaut, ont également la possibilité de réaliser cette action. C’est la stratégie de groupe des contrôleurs de domaine par défaut qui en est la cause.

GPO des contrôleurs de domaine par défaut : Attribution des droits utilisateurs.

Toutefois (et toujours par défaut), le nombre possible de stations ajoutées dans un domaine par des utilisateurs authentifiés est limité à 10. Si vous désirez changer cette valeur, il vous faudra vous pencher sur l’attribut ms-DS-MachineAccountQuota, qui est accessible dans les propriétés du domain en question, grâce à l’utilitaire ADSIEdit, avec lequel vous devez vous connecter à la partitionDomaine de la base de données Active Directory (souvent nommée “contexte d’attribution de noms par défaut” en français) :

L’Editeur des attributs de l’objet représentant le domain Active Directory (via ADSIEdit)

 

Mais comment faire pour connaître le nombre de machine(s) déjà ajouté par un utilisateur précis ? Pour cela, il faut s’intéresser cette fois aux attributs des comptes ordinateursMS-DS-CreatorSID indique le SID du compte qui a réalisé la création de l’objet (et, par conséquent, l’ajout de l’ordinateur au domaine).

Attributs d’un compte d’ordinateur dans Active Directory (via la mmc de gestion des objets AD)

Pour obtenir la liste complète de toutes les machines ajoutées par utilisateur, il faudra donc récupérer l’ensemble des attributs mS-DS-CreatorSID de tous les comptes ordinateurs du domaine et effectuer la comparaison avec le SID de l’utilisateur concerné.

On peut également noter que la limite n’est pas de 10 tentatives d’ajout de machines (réussites ou échouées), mais bien de 10 comptes machines (toujours) présents au niveau du domaine.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *