「ドメインユーザー」はコンピューターをドメインに参加させることができますか？

それは私には非常にありそうにないように思えますが、念のために言うと、「ドメインユーザー」のメンバーはコンピューターをドメインに参加させることができますか（ローカル管理者アカウントを持っていることが許可されています）？

インストラクターはそれを言った、そしてそれは非常に間違って聞こえます。私はそれをテストし、通常のユーザーの資格情報を提供しようとすると「アクセスが拒否されました」というメッセージが表示されました。ここで何か不足していますか？

更新： ADにその名前のコンピューター が既にある場合、アクセスは拒否されます。アカウントを削除すると、ローカルの Administratorアカウントを持つすべてのユーザーがコンピューターに参加し、ADでアカウントを自動作成できます。信じられない。

はい、デフォルトで最大10台のコンピュータに参加できます。

グループポリシーを使用してこの権限を取り消すか、許可される結合の最大数を変更できます。

これが問題になる場合は、新しいコンピューターオブジェクトが作成されるデフォルトの場所を変更することは十分に可能です。ローカル管理者アカウントを無効にするなど、その場所のGPOを非常に制限的なものに設定します。そうすることで、ユーザーは最初よりもはるかにロックダウンされたワークステーションになります。かなりの阻害要因。

マイクロソフトの見解では、ユーザーはマシンをドメインに参加させることができるため、セキュリティポリシーとドメインポリシーを有効にしています。

また、ドメインにマシンを追加したユーザーを監視し、不正な動作が発生した場合は、ナックルを解除することもできます。

あなたの内部ポリシーが何であるかに依存します-私たちは非常に小さなショップを持っていますが、開発者はドメインにマシンを追加することを（GPOではなく神の言葉で）禁止されています。