Hinzufügen von Computern durch Benutzer verhindern
Zur Sicherung bzw. zur weiteren Härtung des Environments gehört es auch, die Standardrichtlinie zu deaktivieren bzw. über eine GPO individuell anzupassen. Die Maßnahme gehört in die Kategorie Domain Controller Hardening.
Ohne Anpassung, darf ein Benutzer bis zu 10 Computer in die Domäne heben.
Das dafür tragende Attribut lautet ms-DS-MachineAccountQuota. Mit der Powershell lässt sich der aktuelle Wert auslesen und direkt anpassen.
Über den ADSI-Editor navigiert man zu diesem Pfad
Wer mit PingCastle arbeitet und seine Bewertung auf Vordermann bringen möchte, setzt diese Maßnahme um.
