ms-DS-MachineAccountQuota
Jeder Domänen-Benutzer hat standardmäßig das Recht, bis zu 10 Computer in die Domäne aufnehmen zu dürfen. In der Regel wird dieses Recht bereits über eine Hardening Policy entzogen. Wer keine Hardening Policy im Einsatz oder es auch nicht über die Default Domain Policy verboten hat, der kann das über ADSIEDIT erledigen.
Dazu navigiert man zu Standardmäßiger Namenskontext und wählt die Domäne aus. Rechtklick und über den Tab Attribut-Editor suchen wir ms-DS-MachineAccountQuota und setzen den Wert auf = 0.
Das war es auch schon.