În mod potențial, există o posibilă gaură de securitate în domeniul Active Directory. Esența sa este că, în mod implicit, fiecare utilizator care nu are drepturi de administrator poate introduce până la 10 dispozitive personale în domeniu. Pe de o parte, acest lucru este convenabil, deoarece eliberează administratorul domeniului sau echipa de suport tehnic de necesitatea de a introduce personal fiecare computer în domeniul Active Directory. dar prezintă o amenințare cu acțiuni distructive inconștiente și, în unele locuri, intense.
Care este problema? Să presupunem că un domeniu are un anumit număr de PC-uri să îndeplinească anumite cerințe în denumirea „calculatorul“ obiect, utilizatorul nu este cunoștințele sau speciale atribuie computerului un nume deja existent și furnizează semnalul de intrare la domeniu. În procesul de adăugare a computerului la un nume existent al unei așa-numita „resetați parola contului de calculator“, cu alte cuvinte, un computer vechi cu același nume, nu mai poate intra în domeniul și rapoartele atunci când încearcă să introduceți parola de conectare:
"Relația de încredere dintre această stație de lucru și domeniul principal nu a putut fi stabilită"
Pentru a exclude re-adăugarea unui computer într-un domeniu cu un nume existent, trebuie să setați o interdicție strictă privind "resetarea parolei" pentru obiecte de computer. Această procedură nu împiedică crearea de noi obiecte de computer, ci va împiedica înlocuirea neautorizată a celor vechi.
Această sarcină este implementată printr-un obiect de politică de grup:
Membru de domeniu: dezactivați modificarea parolei pentru conturile de computer
localizat: Configurație computer \ Politici \ Setări Windows \ Setări de securitate \ Politici locale \ Setări de securitate
transferați peste GPO desemnate către statul Enabled.
Acest GPO configurează o modificare periodică a parolei contului computerului membru al domeniului.
- Dacă activați această opțiune, membrul domeniului nu încearcă să schimbe parola contului de computer. la fiecare 30 de zile, dar utilizează în tranzacțiile sale o parolă permanentă obținută atunci când computerul creează un obiect în domeniul Active Directory
- Dacă această setare este dezactivată, membrul domeniului încearcă să schimbe parola contului computerului în funcție de valoarea parametrului "Domain Member: Maximum account computer expiration account", care are o valoare implicită "la fiecare 30 de zile".
Implicit, acest GPO este dezactivat.
Poate că este interesant și acest lucru:
Navigare după înregistrări
"Un utilizator care nu are drepturi de administrator poate introduce până la 10 dispozitive personale în domeniu."
Este cerut. Cum se mulează calea, utilizatorul cu drepturi numai Citirea în domeniu poate face o schimbare în acesta.
Cu ocazia
"Relația de încredere dintre această stație de lucru și domeniul principal nu a putut fi stabilită"
De multă vreme se știe de ce se întâmplă acest lucru.
Dacă în timpul operației pentru a trage compania de energie, iar apoi în timpul de boot proshlyapil momentul când vi se solicită să recupereze, iar administratorul a uitat să opriți scroafa Tu melkomyagkih, sistemul va fi rostogolită doar un pic, și este timpul pentru a schimba ID-ul de sistem, care este de aproximativ o dată pe lună variază, și apoi cant să iasă.
Se rezolvă prin simpla dezactivare a recuperării sistemului la repornire.
Și da, hamsterii cred în aceste povești de mai sus și se gândesc la ei înșiși ca zei.
1. Orice utilizator de domeniu are dreptul să introducă 10 computere în domeniu, aceasta este politica implicită a MS, în cazul în care administratorul nu o reduce în mod specific.
2. Referitor la "Nu am putut stabili o relație de încredere" - articolul spune că totul este corect, în cazul descris de dvs., același lucru se întâmplă, contul computerului este reluat. Și ce vrei să spui prin identificarea sistemului? Există identificatori SID.
Se pare că hamsterul este aici, Constantin.
Trimiteți-le prietenilor: