Как запретить присоединение и работу в домене Windows Server 2012 и выше компьютеров и пользователей незарегистрированных в нём?
Всех приветствую! Помогите советом, вообщем ситуация такова:
в Windows Server 2012 R2 я поднял контроллер домена, создал домен, создал организационную единицу - organisational unit, OU, в OU - создал разделы для компьютеров и для учетных записей пользователей, в них соответственно создал имена компьютеров и учетки пользователей которые должны быть в домене, так вот мне необходимо чтобы только компьютеры с такими именами и учетными записями могли быть присоединены в домен и находится в нем, если компьютер имеет незаведенное имя в OU домена то ему должно быть отказано в присоединении и работе в домене, так же если компьютер имеет заведенное в OU домена имя но пользователь на нём работает под учетной записью которая незаведена в OU домена то ему также должно быть отказано во входе и работе в домене, пробовал с помощью групповых политик домена, ничего не получается.
К примеру в домене заведены имена компьютеров - Comp1,Comp2, Comp3
и учетки пользователей - User1, User2, User3
т.е. мне надо чтобы в домен допускались для присоединения и работы только компьютеры с такими именами и учетками пользователей
О, выросло новое поколение админов, свято уверенных, что вводить комп в домен по умолчанию может только админ или (кто слыхал про делегирование) некие особые спецюзеры с выданными правами. Как запретить пользователю вводить ПК в домен?
1.Когда добавляете новый комп в домен, создается новая учетная запись для компа. Если такое имя в домене уже есть - видимо будет конфликт. В этом случае вряд ли вообще комп добавится в домен.
2.Добавлять компы в домен может только админ
Ваши хотелки видятся несколько странными. Похоже вы пытаетесь решить какие-то задачи не совсем правильным путем. Если бы вы написали конечную цель, возможно вам тут и подсказали бы правильное решение. Пока же ваши хотелоки похоже не реализуемы стандартными средствами.
1.Когда добавляете новый комп в домен, создается новая учетная запись для компа. Если такое имя в домене уже есть - видимо будет конфликт. В этом случае вряд ли вообще комп добавится в домен.
Ясно, просто я хотел был сделать так чтобы в домене были компы из определнного ряда имен, как я уже сказал скажем Comp1..Comp10, а если присоединяемый комп скажем комп с именем Comp11 - он не допускается в домен
2.Добавлять компы в домен может только админ
Почему то после создания нового домена с настрйками групповых политик по умолчанию оказывается что присоединять может любой пользователь в домене а не только админ домена
Похоже вы пытаетесь решить какие-то задачи не совсем правильным путем
Я начинающий админ учусь админить, хочу изучить все возможности АД, вот допустим я хочу сделать так как озвучил, и чтото мне неверится что в MS Server это сделать невозможно
Ясно, просто я хотел был сделать так чтобы в домене были компы из определнного ряда имен, как я уже сказал скажем Comp1..Comp10, а если присоединяемый комп скажем комп с именем Comp11 - он не допускается в домен
Этот вопрос снимается тем, что добавлять компы может только админ.
Почему то после создания нового домена с настрйками групповых политик по умолчанию оказывается что присоединять может любой пользователь в домене а не только админ домена
Возможно у вас всем пользователям предоставлены админские права или привилегии на добавление компа в домен. Проверяйте права доменных пользователей.
res2001, не вводите новичка в заблуждение.
Право на ввод компьютера в домен - дефолтная привилегия для всех пользователей домена. Если пользователю дали учётные данные и никак не ограничили, то предполагается, что он сам в праве определять, с каким устройством работать в домене.
И это зачастую не критично, т.к. ПРАВА обычно предоставляются пользователю домена, а на компьютер домена накладываются ОГРАНИЧЕНИЯ.
Даже если по умолчанию сейчас пользователям разрешено добавление компов в домен, то Nordman99 проще всего эти права отобрать и оставить только у админа.
Присоединять компьютер к домену должен пользователь домена, имеющий соответствующие права. Может, просто переложить решение вопроса на такого пользователя? А он уж сам разберётся, какой компьютер можно вводить, а какой нет.
А он уж сам разберётся, какой компьютер можно вводить, а какой нет
Это не секьюрно, сетью и доменом рулить должен только админ, допустим админ только я а все остальные - ограниченные пользователи, их задача - выполнять свою работу на своих местах а присоединять и отсоединять компы в домене это моя задача, и в домене не должно быть левых компов и учеток, а только те что я создал, как я вижу такие политики в Windows Server по умолчанию не стоят, их надо дополнительно настраивать
lubezniy, ну во первых почему то по умолчанию любой созданный пользватель в домене может присоединить комп в домен, а мне надобы чтобы только я мог т.е. админ домена, а все остальные немогли ни присоединить ни отсоединить, ну и потом как оказывается после присоединения компа он может дальше находится под своим именем в домене, даже если такое имя компа в домене и не заведено, а я хочу настроить так чтобы такое было не допустимо
Приведите пример зачем это может понадобится?
Ввести компьютер в домен может только пользователь с соответствующими правами.
Да и без учётной записи в домене доступ к доменным ресурсам не получить.
Nordman99
Вас это ни от чего не защитит. Если ввести компьютер в домен с именем, который уже есть в домене, первый вылетит из домена, что является ещё большей проблемой.
Простой
