چگونه کاربر می تواند بدون داشتن مجوز ایجاد object تا ده کامپیوتر را به دامین join کند؟
برای جواب به این سوال بهتر است که ابتدا نگاهی به تنظیم های DSACL بر روی Computer container بیاندازیم.
همانطور که در تصویر مشاهده می کنید گروه Authenticated Users فقط مجوز Read را بر روی Computers دارا است. پس کاربران عادی مجوز ایجاد کامپیوتر جدید را در این container نخواهند داشت.
پس چگونه یک کاربر عادی می تواند کامپیوتر را به دامین join کند؟ برای روشن شدن این موضوع نیاز است که توضیحاتی دهم. به صورت پیش فرض که Active Directory نصب و راه اندازی می شود این مجوز در Default Domain Controller Policy وجود دارد:
در حقیقت مجوزی که کاربران اجازه ایجاد و join کامپیوتر ها را به domain می دهد همین مجوز می باشد.
- کاربر درخواست join to domain را برای یک کامپیوتر خاص می دهد. که البته برای آن نیاز به مجوز Local Administrators بر روی کامپیوتر مورد نظر خواهد داشت.
- کامپیوتر DC درخواست کاربر را بررسی می کند تا ببیند که کاربر مورد نظر اجازه ایجاد computer account را در default computer container را دارا است یا نه
- در صورتی که کاربر مورد نظر مجوز دسترسی داشته باشد که کامپیوتر با مجوز او ایجاد شده و کامپیوتر می تواند عضو domain شود.
اما اگر کاربر اجازه دسترسی نداشته باشد DC بررسی می کند که چه کسی مجوز SE_MACHINE_ACCOUNT_PRIVILEGE یا همان Add workstations to the domain را دارد. در صورتی که کاربر هم این مجوز را داشته باشد (به صورت پیش فرض Authenticated Users این مجوز را دارد. پس کاربر ما هم دارد). کاربر می تواند کامپیوتر مورد نظر را عضو domain کند، به شرطی که محدودیت 10 کامپیوتر ms-DS-MachineAccountQuota او تمام نشده باشد. در صورتی که کاربر مجوز مورد نظر را نداشته باشد و یا محدودیت 10 کامپیوتر او تمام شده باشد نمی تواند کامپیوتر جدیدی عضو domain کند.
هنگامی که کامپیوتر مورد نظر به AD اضافه شد بر روی آن یک مقدار که معادل User SID می باشد به Attribute ی با نام mS-DS-CreatorSID اضافه می گردد.
در این مقاله از محدودیتی با نام mS-DS-MachineAccountQuota صحبت شده است. این مقدار را می توان در مسیر زیر مشاهده و تغییر داد.
وارد کنسول ADSI Edit شده و وارد Properties دامین خود شده و از قمت فیلتر تمام تیک ها را انتخواب نمایید تا mS-DS-MachineAccountQuota نمایش داده شود.
همانگونه که مشاهده می کنید این مقدار برابر با 10 می باشد. زمانی که کاربری می خواهد کامپیوتر جدیدی را به دامین join کند AD یک query ایجاد می کند تا بر اساس آن تمام کامپیوتر هایی که این کاربر به domain اضافه کرده است را لیست کند و تعداد آنها را بدست آورد. همانطور که در قبل عنوان شد هر کامپیوتری که به domain اضافه می گردد در صورتی که از این فرآیند استفاده کرده باشد، مقدار mS-DS-CreatorSID شامل کسی می شود که آن را به دامین اضافه کرده است. پس مشخص است که هر کامپیوتر را چه کسی به دامین اضافه کرده است. پس AD به راحتی می تواند محاسبه کند که هر نفر چند کامپیوتر را به domain اضافه کرده است.
در پایان پیشنهاد می گردد که مقدار Authenticated Users را Add Workstation to Domain حذف کنید تا هیچ کسی بدون مجوز شما نتواند به domain کامپیوتر جدیدی اضافه کند.
