Microsoft предупредила о багах Active Directory, с которыми возможен захват домена Windows
По-умолчнанию “Администраторы домена” имеют право вводить неограниченное число компьютеров, все остальные ограничены 10.
Как предотвратить ситуацию из статьи:
Открыть “Пользователи и компьютеры Active Directory”;
в меню Вид включить “Дополнительные компоненты”;
открыть свойства домена, на вкладке “Редактор атрибутов” найти “ms-DS-MachineAccountQuota” и установить в 0.
Этим мы запретим неадминистраторам домена присоединять компьютеры к домену.
(Опционально) Если неободимо избранным группе/пользователям дать право на присоединение компьютеров к домену:
Открыть “Управление групповой политикой”;
Измененить в корне домена существующую политику, либо создать и связать новую:
Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Предоставление прав пользователям
в параметре “Добавление рабочих станций к домену” выбрать необходиых пользователей/группы.
Для данных учетных записей ограничение на количество присоединенных компьютеров полностью снимается.