viernes, 26 de junio de 2015

Controla quién puede unirse a tu dominio

Hay acciones que los auditores damos como hechas por ser el abc de la seguridad. Una de ellas es tan simple como "quién puede añadir máquinas a mi dominio". Lógico ¿no?. Por defecto Windows Server deja que cualquier usuario pueda añadir máquinas a un dominio hasta un máximo de 10, el único requisito es que sea Usuario Autentificado.

Poniendo barreras al entorno.

Vamos a cambiar esta política. Existen dos formas de hacerlo; la primera, sobre la directiva de controlador de dominio y la segunda cambiando un atributo del dominio. 
La primera, simplemente añadimos el Grupo de usuarios permitidos para este menester en la definición de esta directiva: 




La segunda opción es cambiando el atributo ms-DS-MachineAccountQuota, que define el número máximo de máquinas que puede añadir un usuario autenticado. Lo ponemos a 0 y un problema menos.



Por último, les dejo como sacar el valor definido de máquinas por usuario permitidas en Powershell.
Get-ADDomain | select -ExpandProperty DistinguishedName | Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | select -ExpandProperty ms-DS-MachineAccountQuota




0 comentarios:

Publicar un comentario