Adicionar estações de trabalho ao domínio
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Adicionar estações de trabalho ao domínio.
Referência
Esta configuração de política determina quais usuários podem adicionar um dispositivo a um domínio específico. Para que isso tenha efeito, ela deve ser atribuída para se aplicar a pelo menos um controlador de domínio. Um usuário que recebe esse direito pode adicionar até dez estações de trabalho ao domínio.
Adicionar uma conta de computador ao domínio permite que o dispositivo participe da rede baseada no Active Directory.
Constante: SeMachineAccountPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Defina essa configuração de modo que apenas membros autorizados da equipe de TI tenham permissão para adicionar dispositivos ao domínio.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\
Valores padrão
Por padrão, essa configuração permite o acesso para Usuários Autenticados em controladores de domínio e não é definida em servidores autônomos.
A tabela a seguir lista os valores de política padrão reais e efetivos das versões com suporte do Windows mais recentes. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Não definido |
Configurações Padrão de Servidor Autônomo |
Não definido |
Configurações Padrão Efetivas do Controlador de Domínio |
Usuários Autenticados |
Configurações Padrão Efetivas do Servidor Membro |
Não definido |
Configurações Padrão Efetivas do Computador Cliente |
Não definido |
Gerenciamento de políticas
Os usuários também poderão ingressar um computador em um domínio se tiverem a permissão Criar Objetos de Computador para uma unidade organizacional (UO) ou para o contêiner Computadores no diretório. Os usuários que receberem essa permissão poderão adicionar um número ilimitado de dispositivos ao domínio, quer tenham ou não o direito de usuário Adicionar estações de trabalho ao domínio.
Além disso, as contas de computador criadas por meio do direito de usuário Adicionar estações de trabalho ao domínio têm Administradores de Domínio como o proprietários da conta do computador. As contas de computador criadas por meio de permissões no contêiner do computador usam o autor como o proprietário da conta do computador. Se um usuário tiver permissões no contêiner e também tiver o direito de usuário Adicionar estação de trabalho ao domínio, o dispositivo será adicionado com base nas permissões do contêiner de computador, em vez de no direito de usuário.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez em que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Essa política tem as seguintes considerações de segurança:
Vulnerabilidade
O direito de usuário Adicionar estações de trabalho ao domínio apresenta vulnerabilidade moderada. Os usuários com esse direito podem adicionar um dispositivo ao domínio que esteja configurado de forma a violar políticas de segurança organizacional. Por exemplo, se sua organização não quiser que seus usuários tenham privilégios administrativos em seus dispositivos, os usuários poderão instalar o Windows em seus computadores e depois adicionar os computadores ao domínio. O usuário saberia a senha da conta do administrador local, poderia fazer logon com essa conta e depois adicionar uma conta de domínio pessoal ao grupo Administradores local.
Contramedida
Defina essa configuração de modo que apenas membros autorizados da equipe de TI tenham permissão para adicionar computadores ao domínio.
Impacto em potencial
Para organizações que nunca permitiram que os usuários configurassem seus computadores e adicionassem ao domínio, essa contramedida não tem qualquer impacto. Para aquelas que têm permitido que alguns ou todos os usuários configurem seus próprios dispositivos, essa contramedida força a organização a estabelecer um processo formal para esses procedimentos a partir de agora. Isso não afeta os computadores existentes, a menos que sejam removidos e, em seguida, adicionados ao domínio.