Lorsqu’un compte d’ordinateur est prédéfini, les autorisations qui l’accompagnent déterminent qui est autorisé à joindre cet ordinateur au domaine. En l’absence de compte prédéfini, Windows autorisera tout utilisateur authentifier à créer un compte ordinateur dans le conteneur d’ordinateur par défaut. En fait, Windows lui permettra d’y créer jusqu’à 10 objets ordinateurs. Par défaut, le créateur d’un objet ordinateur a le droit de joindre l’ordinateur correspondant au domaine. C’est le mécanisme qui permet à n’importe quel utilisateur authentifier de joindre jusqu’à 10 ordinateurs au domaine sans aucune autorisation explicite.
Ce quota de 10 est configuré par l’attribut ms-DS-MachineAccountQuota du domaine. Cette situation est problématique du point de vue sécurité, parce que les ordinateurs sont des entités de sécurité et que le créateur d’une entité de sécurité a l’autorisation de gérer les propriétés de cet ordinateur. En un sens, le quota équivaut à autoriser n’importe quel utilisateur du domaine à créer 10 comptes sans aucun contrôle.
Il est vivement recommandé de fermer cette brèche afin de réserver aux administrateurs le droit de joindre des ordinateurs au domaine. Voici les étapes pour modifier l’attribut ms-DS-MachineAccountQuota d’un domaine:
1. Ouvrez Modification ADSI dans le dossier Outils d’administration.
2. Cliquez droit su Modification ADSI est choisissez Connexion.
3. Dans la section Point de connexion, choisissez Sélectionnez un contexte d’attribution de noms connu, et sélectionnez Contexte d’attribution de noms par défaut dans la liste déroulante.
4. Cliquez su OK.
5. Développez Contexte d’attribution de noms par défaut.
6. Cliquez par exemple sur le dossier DC=nwtraders, DC=msft et choisissez Propriété.
8. Tapez 0.
9. Cliquez sur OK.
Après avoir effectué cette configuration, vous voilà certain que les seuls utilisateurs pouvant joindre des ordinateurs au domaine sont ceux auxquels vous aurez accordé spécifiquement l’autorisation de joindre des objets ordinateur prédéfinis ou d’en créer de nouveaux.