Agregar estaciones de trabajo al dominio
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Agregar estaciones de trabajo al dominio.
Referencia
Esta configuración de directiva determina qué usuarios pueden agregar un dispositivo a un dominio específico. Para que surta efecto, debe asignarse para que se aplique a al menos un controlador de dominio. Un usuario al que se asigne este derecho de usuario puede agregar hasta diez estaciones de trabajo al dominio.
Agregar una cuenta de máquina al dominio permite al dispositivo participar en redes basadas en Active Directory.
Constante: SeMachineAccountPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
- Configura esta opción para que solo los miembros autorizados del equipo de TI puedan agregar dispositivos al dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Asignación de derechos de usuario\
Valores predeterminados
De forma predeterminada, esta configuración permite el acceso de usuarios autenticados a controladores de dominio y no se define en servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados (tanto reales como eficaces), para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Sin definir |
Configuración predeterminada del servidor independiente |
Sin definir |
Configuración predeterminada eficaz del controlador de dominio |
Usuarios autenticados |
Configuración predeterminada eficaz del servidor miembro |
Sin definir |
Configuración predeterminada eficaz del equipo cliente |
Sin definir |
Administración de directivas
Los usuarios también pueden unir un equipo a un dominio si tienen el permiso Crear objetos de equipo para una unidad organizativa (UO) o para el contenedor de equipos en el directorio. Los usuarios que tienen asignado este permiso pueden agregar un número ilimitado de dispositivos al dominio independientemente de si tienen el derecho de usuario Agregar estaciones de trabajo al dominio.
Además, las cuentas de máquina que se crean mediante el derecho de usuario Agregar estaciones de trabajo al dominio tienen Administradores de dominio como propietario de la cuenta de equipo. Las cuentas de máquinas que se crean mediante permisos en el contenedor del equipo usan al creador como propietario de la cuenta de máquina. Si un usuario tiene permisos en el contenedor y también tiene el derecho de usuario Agregar estaciones de trabajo al dominio, el equipo se agrega en función de los permisos del contenedor del equipo en lugar del derecho de usuario.
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
Esta directiva tiene las siguientes consideraciones sobre seguridad:
Vulnerabilidad
El derecho de usuario Agregar estaciones de trabajo al dominio presenta una vulnerabilidad moderada. Los usuarios con este derecho pueden agregar un dispositivo al dominio que esté configurado de manera que infrinja las directivas de seguridad de la organización. Por ejemplo, si la organización no desea que los usuarios tengan privilegios administrativos en sus dispositivos, los usuarios pueden instalar Windows en sus equipos y luego agregar los equipos al dominio. El usuario podría conocer la contraseña de la cuenta de administrador local, podría iniciar sesión con esa cuenta y después agregar una cuenta de dominio personal al grupo de administradores locales.
Contramedida
Configura esta opción para que solo los miembros autorizados del equipo de TI puedan agregar equipos al dominio.
Impacto potencial
Esta contramedida no tiene efecto en el caso de las organizaciones que nunca hayan permitido a los usuarios configurar sus equipos y agregarlos al dominio. En el caso de aquellas que hayan permitido a algunos o a todos los usuarios configurar sus propios dispositivos, esta contramedida fuerza a la organización a establecer un proceso formal para que estos procedimientos sigan adelante. Esto no afecta a los equipos existentes a menos que se eliminen del dominio y luego se vuelvan a añadir.