Вопрос: Блокировать компьютер от присоединения к домену, если он имеет то же имя, что и другой объект компьютера в ADUC


На работе у нас есть контроллер домена с сервером 2008 R2. Наша группа поддержки настольных компьютеров имеет возможность присоединять компьютеры к домену, используя свои учетные данные сети. Мы столкнулись с проблемой, когда, если имя подключаемого компьютера совпадает с существующим компьютером в домене, существующий компьютер получит ошибку «Отношения доверия не удалось ...» и не будет аутентифицироваться вообще, если кто-то не входит в систему как локальный администратор, изменяет имя компьютера и присоединяется к нему в домене.

Я хочу сделать так, чтобы Desktop Support могла присоединяться только к компьютерам с уникальными именами в домене. Если имя уже существует в домене, операция должна завершиться неудачей. Просматривая TechNet, похоже, что эта функциональность существует, но я не могу понять, как ее включить. Есть идеи?


4
2018-01-28 21:33


Источник




Ответы:


Похоже, ваша группа «Поддержка рабочего стола» имеет чрезмерные права, которые позволяют членам перезаписывать атрибуты на существующих учетных записях компьютеров.

Специальных функций для предотвращения соединения компьютеров с существующими именами нет. Не делегируя права группы «Поддержка рабочего стола» на изменение существующих компьютерных объектов, вы удаляете возможность членов группы изменять существующие компьютерные объекты.

Если бы я был вами, я бы сделал следующее:

  • Создайте подразделение в Active Directory для вновь созданных учетных записей компьютеров, чтобы «приземлиться» (когда они созданы с использованием функций присоединения домена по умолчанию в клиентской ОС). Я собираюсь назвать это подразделением «Новые компьютеры».

  • Перенаправить контейнер «Компьютеры» по умолчанию в подразделение «Новые компьютеры», используя redircmp утилиты (Microsoft конкретные данные об использовании)

  • Делегируйте права группы «Поддержка рабочего стола» на «Создание компьютерных объектов» в подразделении «Новые компьютеры».

Члены группы «Поддержка рабочего стола» смогут присоединить компьютеры к домену, а вновь созданные компьютерные объекты попадут в подразделение «Новые компьютеры». Они не будут, предполагая, что вы удалили членство пользователей в любых группах с более высокими привилегиями, могли модифицировать существующие компьютерные объекты и, таким образом, не смогли бы присоединить компьютеры к домену с именами, которые используются компьютерами, связанными с домен уже.

Редактировать:

Я не могу воспроизвести поведение, которое вы видите повторно: «... ошибка в том, что вы не можете изменить DNS-имя первичного домена».

Имейте в виду, что разрешения по умолчанию для компьютеров когда вы тестируете поведение продукта. Учетная запись, которую вы используете для создания объекта компьютера, устанавливается как владелец и предоставлена ​​разрешение (как СОТРУДНИК СОЗДАТЕЛЯ) на вновь созданный объект. Если вы используете одну и ту же учетную запись для добавления «конфликтующего» компьютера, эти разрешения позволят вам «разбить» исходную учетную запись компьютера. Я не знаю, как можно переопределить это поведение. Лучше всего предотвратить это поведение, чтобы вызвать проблемы, было бы программным образом сбросить владельца на вновь созданных объектах компьютера на «Администраторы» и повторно применить ACL по умолчанию (чтобы удалить ACE, которые относятся к оригинальному СОБСТВЕННОМУ СОБСТВЕНУ).

Я присоединился к машине под названием «TEST-SVR01» в свой тестовый домен, используя члена моей группы поддержки «Desktop». После этого я сбросил права собственности на компьютерный объект TEST-SVR01 на «Администраторы» и повторно применил разрешения по умолчанию (используя кнопку «По умолчанию» в диалоговом окне «Дополнительно»).

Я попытался подключиться к другому компьютеру с именем TEST-SVR01 в домен, используя тот же пользователь «Поддержка рабочего стола», и получил сообщение об ошибке «Доступ запрещен» во время попытки. У оригинального TEST-SVR01 по-прежнему сохранялись неразрешенные доверительные отношения с доменом.

Там есть нет простой (или, на мой взгляд, целесообразный) способ сделать участников группы «Администраторы домена» неспособными изменять существующие учетные записи компьютеров. Вероятно, вы можете сделать что-то отвратительное с разрешениями «Запретить», но вы собираетесь заставить продукт вести себя так, чтобы он отличался от его по умолчанию. Я бы сказал, что вы не должны использовать «Domain Admins» - учетные записи для подключения компьютеров к домену. Принцип наименьших привилегий требует, чтобы вы использовали только учетные записи «Администраторы домена», чтобы выполнять функции, для которых необходимы их чрезмерные права, а присоединение компьютеров к домену не требует чрезмерных прав.


11
2018-01-28 21:46



Я только что внес изменения, которые вы предложили в тестовой среде, и, похоже, это не изменило ситуацию. Компьютерные объекты появляются в новом OU i, и я подтвердил, что моя тестовая учетная запись имеет только «Создать объекты компьютера», но если я присоединюсь к новой виртуальной машине Windows 7 в домен под существующим именем, операция будет успешной, а другая компьютер не может аутентифицироваться. Чтобы быть ясным, я не хочу, чтобы кто-либо (даже Администраторы домена) мог перезаписывать существующие учетные записи. Есть ли что-то, что я могу сделать в редакторе ADSI, чтобы отключить это глобально? - Justin
Начиная с внесения изменений, я замечаю, что после получения сообщения «Добро пожаловать в <ДОМЕН>> я получаю сообщение об ошибке« Невозможно изменить DNS-имя первичного домена ». Однако существующая машина все еще загружается из домена. - Justin
Я просто вручную установил дескриптор безопасности на объекте компьютера по умолчанию, как вы сказали, и похоже, что вы правы. Есть ли способ, с помощью которого можно создать сценарий, чтобы все объекты компьютера, подобные этому, будут установлены на значение по умолчанию? Спасибо за вашу помощь. - Justin
Также: я имел в виду отключить возможность перезаписывать существующий объект компьютера только в процессе соединения. Моей идеальной настройкой было бы, если кто-то попытается присоединиться к машине в домен под существующим именем, они получат сообщение об ошибке вроде «Ошибка операции объединения, потому что <COMPUTER_NAME> уже существует в <DOMAIN>. Либо установите другое имя, либо удалите существующий объект вручную в ADUC " - Justin


Вы не создаете новую учетную запись, когда второй компьютер присоединяется к домену, а просто подключается к существующей учетной записи.

это не иначе, как если бы вы повторно отображали существующую машину и хотите снова использовать одно и то же имя.

причина, по которой вы получаете ошибку отношения доверия, состоит в том, что существующие отношения были нарушены из-за того, что новый создается с помощью машины, с которой вы только что присоединились.

Насколько я знаю, нет способа остановить компьютер от присоединения к домену, если имя уже существует.


0
2017-10-21 19:27