Gli "Utenti del dominio" possono unire i computer al dominio?

Mi sembra molto improbabile, ma per essere sicuro: un membro di "Utenti di dominio" può unirsi a un computer al dominio (ammesso che abbia l'account di amministratore locale)?

L'istruttore l'ha detto e sembra molto sbagliato. L'ho provato e ho ricevuto "Accesso negato" quando ho provato a fornire le credenziali di un utente normale. Mi sto perdendo qualcosa qui?

Aggiornamento: viene negato l'accesso se si dispone già di un computer con quel nome in AD. Se elimini l'account, qualsiasi utente con account amministratore locale potrebbe unirsi al computer, creando automaticamente un account in AD. INCREDIBILE.

Sì, possono unire fino a 10 computer per impostazione predefinita.

È possibile revocare questo diritto, utilizzando Criteri di gruppo o modificare il numero massimo di join consentiti.

Se questo è un problema per te, è del tutto possibile modificare la posizione predefinita in cui vengono creati nuovi oggetti computer. Impostare l'oggetto Criteri di gruppo in quella posizione in modo che sia molto restrittivo, come disabilitare l'account dell'amministratore locale e, in tal modo, gli utenti finiscono con una workstation molto più bloccata di quanto non abbiano iniziato. Abbastanza disincentivo.

Il punto di vista di Microsoft è che l'utente sta optando per i criteri di sicurezza e di dominio avendo la possibilità di unire macchine al dominio.

Puoi anche monitorare chi ha aggiunto macchine al tuo dominio e poi rompere le nocche dopo il fatto se si stanno comportando male.

Dipende dalle vostre politiche interne - abbiamo un negozio molto piccolo ma agli sviluppatori è proibito (per parola di Dio, non oggetti Criteri di gruppo) di aggiungere macchine al dominio.