Aggiunta di workstation al dominio
Contiene informazioni su procedure consigliate, posizione, valori e gestione dei criteri, nonché considerazioni sulla sicurezza per l'impostazione del criterio di sicurezza Aggiunta di workstation al dominio.
Informazioni di riferimento
L'impostazione di questo criterio determina quali utenti possono aggiungere un dispositivo a un dominio specifico. Perché abbia effetto, questo criterio deve essere assegnato in modo da essere applicato almeno a un controller di dominio. Un utente a cui è assegnato questo diritto utente può aggiungere fino a dieci workstation al dominio.
L'aggiunta di un account computer al dominio permette al dispositivo di partecipare a funzionalità di rete basate su Active Directory.
Costante: SeMachineAccountPrivilege
Valori possibili
Elenco di account definito dall'utente
Non definito
Procedure consigliate
- Configura questa impostazione in modo che solo i membri autorizzati del team IT possano aggiungere dispositivi al dominio.
Percorso
Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Assegnazione diritti utente\
Valori predefiniti
Per impostazione predefinita, questo criterio permette l'accesso per il gruppo Authenticated Users in controller di dominio e non è definito nei server autonomi.
La tabella seguente elenca i valori predefiniti ed effettivi per questo criterio per le versioni più recenti di Windows supportate. I valori predefiniti sono elencati anche nella pagina delle proprietà dei criteri.
| Tipo di server o oggetto Criteri di gruppo | Valore predefinito |
|---|---|
Criterio dominio predefinito |
Non definito |
Criterio controller di dominio predefinito |
Non definito |
Impostazioni predefinite server autonomi |
Non definito |
Impostazioni predefinite effettive controller di dominio |
Authenticated Users |
Impostazioni predefinite effettive server membri |
Non definito |
Impostazioni predefinite effettive computer client |
Non definito |
Gestione dei criteri
Gli utenti possono aggiungere un computer a un dominio se hanno creato l'autorizzazione per la creazione di oggetti computer per un'unità organizzativa o per il contenitore Computer nella directory. Gli utenti a cui è assegnata questa autorizzazione possono aggiungere un numero illimitato di dispositivi al dominio, indipendentemente dal fatto che abbiano o meno il diritto utente Aggiunta di workstation al dominio.
Inoltre, gli account computer creati tramite Aggiunta di workstation al dominio hanno utenti del gruppo Domain Administrators come proprietari dell'account computer. Gli account computer creati tramite autorizzazioni nel contenitore Computer usano il creatore come proprietario dell'account computer. Se un utente ha le autorizzazioni per il contenitore e ha anche il diritto utente Aggiunta di workstation al dominio, il dispositivo viene aggiunto in base alle autorizzazioni del contenitore computer invece che al diritto utente.
Per rendere effettiva questa impostazione, non è necessario riavviare il dispositivo.
Qualsiasi modifica apportata all'assegnazione dei diritti utente per un account diventa effettiva al successivo accesso del proprietario dell'account.
Criteri di gruppo
Le impostazioni vengono applicate nell'ordine seguente tramite un oggetto Criteri di gruppo, che sovrascriverà le impostazioni nel computer locale al successivo aggiornamento di Criteri di gruppo:
Impostazioni dei criteri locali
Impostazioni dei criteri del sito
Impostazioni dei criteri del dominio
Impostazioni dei criteri dell'unità organizzativa
Quando un'impostazione locale non è disponibile, significa che è controllata da un oggetto Criteri di gruppo.
Considerazioni sulla sicurezza
A questo criterio si applicano alcune considerazioni sulla sicurezza:
Vulnerabilità
Il diritto utente Aggiunta di workstation al dominio presenta una vulnerabilità moderata. Gli utenti con questo diritto potrebbero aggiungere al dominio un dispositivo configurato in modo da violare i criteri di sicurezza dell'organizzazione. Ad esempio, se l'organizzazione non vuole che i propri utenti abbiano privilegi amministrativi nei propri computer, gli utenti potrebbero installare Windows nei dispositivi e quindi aggiungere i computer al dominio. L'utente conoscerebbe la password per l'account amministratore locale, potrebbe accedere con questo account e quindi aggiungere un account di dominio personale al gruppo Administrators locale.
Contromisura
Configura questa impostazione in modo che solo i membri autorizzati del team IT possano aggiungere computer al dominio.
Potenziale impatto
Per le organizzazioni che non hanno mai permesso agli utenti di configurare i propri computer e di aggiungerli al dominio, questa contromisura non ha alcun impatto. Per le organizzazioni che permettono ad alcuni o tutti gli utenti di configurare i propri dispositivi, questa contromisura le obbliga a stabilire un processo formale per queste procedure da questo momento in poi. Questa contromisura non influisce sui computer esistenti, a meno che non vengano rimossi dal dominio e quindi riaggiunti.