Lorsqu’un compte d’ordinateur est prédéfini, les autorisations qui l’accompagnent déterminent qui est autorisé à joindre cet ordinateur au domaine. En l’absence de compte prédéfini, Windows autorisera tout utilisateur authentifier à créer un compte ordinateur dans le conteneur d’ordinateur par défaut. En fait, Windows lui permettra d’y créer jusqu’à 10 objets ordinateurs. Par défaut, le créateur d’un objet ordinateur a le droit de joindre l’ordinateur correspondant au domaine. C’est le mécanisme qui permet à n’importe quel utilisateur authentifier de joindre jusqu’à 10 ordinateurs au domaine sans aucune autorisation explicite.

Ce quota de 10 est configuré par l’attribut ms-DS-MachineAccountQuota du domaine. Cette situation est problématique du point de vue sécurité, parce que les ordinateurs sont des entités de sécurité et que le créateur d’une entité de sécurité a l’autorisation de gérer les propriétés de cet ordinateur. En un sens, le quota équivaut à autoriser n’importe quel utilisateur du domaine à créer 10 comptes sans aucun contrôle.

Il est vivement recommandé de fermer cette brèche afin de réserver aux administrateurs le droit de joindre des ordinateurs au domaine. Voici les étapes pour modifier l’attribut ms-DS-MachineAccountQuota d’un domaine: