• Ваш кошик порожній!

Сервісний центр VPSGroup ремонт комп'ютерної техніки, заправка картриджів, ремонт оргтехніки, Київ, Виставковий центр, Васильківська, 55

Квота на приєднання комп'ютерів до домену.

31/10/2021

За замовчуванням право на приєднання комп'ютерів до домену надається групі користувачів Автентифіковані (Autentificated Users). Іншими словами, будь-який користувач, який має доменну обліковий запис, може додати свій комп'ютер в домен. Однак щоб уникнути зловживань, максимальна кількість машин, яке може приєднати пересічний користувач, обмежена 10.


Якщо перевищити цю квоту, то при додаванні комп'ютера в домен користувач отримає повідомлення про помилку:

Комп'ютер не може бути приєднаний до домену. На цьому домені перевищено максимально допустиму кількість облікових записів. Зверніться до системного адміністратора з проханням скасувати це обмеження або збільшити значення.

За розмір квоти відповідає атрибут користувача ms-DS-MachineAccountQuota. Вважається квота наступним чином: в облікового запису комп'ютера (а не користувача) є атрибут ms-DS-CreatorSID, в якому зберігається SID облікового запису користувача, заводив обліковий запис цього комп'ютера.Коли пересічний користувач додає комп'ютер в домен, то система підраховує кількість облікових записів комп'ютерів, в яких атрибут ms-DS-CreatorSID дорівнює SID-у користувача. Якщо це значення менше значення квоти ms-DS-MachineAccountQuota, то комп'ютер підключається до домену, інакше з'являється наведена вище помилка.Квота носить відносний характер, тобто вважаються не всі облікові записи комп'ютерів, коли або заведені користувачем, а тільки існуючі в домені на даний момент.

Є кілька способів обійти квоту.

Попереднє створення облікового запису комп'ютера

  • Відкриваємо оснащення «Active Directory - користувачі і комп'ютери».
  • Клацаємо правою кнопкою миші на контейнері, в якому планується створювати обліковий запис і вибираємо пункт Створити - Комп'ютер.
  • У вікні вводимо ім'я комп'ютера, який необхідно додати в домен.
  • Тиснемо на кнопку Змінити і вибираємо користувача або групу, від імені якого проводиться приєднання до домену.При виборі майте на увазі, що квота не поширюється тільки на членів групи Адміністратори домену (Domain admins) і тих користувачів, яким делеговані права на керування даним контейнером.
  • Далі тиснемо OK і обліковий запис комп'ютера створена, а в значенні атрибута ms-DS-CreatorSID буде вказано SID того користувача, від імені якого заводилася обліковий запис в AD, а не того хто фізично підключав комп'ютер до домену.



    • Перевага цього способу в тому, що ми відразу створюємо обліковий запис в потрібному нам контейнері, а не в контейнері Computers (контейнер для комп'ютерів за замовчуванням). Однак він більш трудомісткий, ніж інші, адже таким чином доведеться створювати учетку для кожного нового комп'ютера.

    Делегування прав на створення і видалення облікових записів комп'ютерів

    • Відкриваємо оснащення «Active Directory - користувачі і комп'ютери».
    • Клацаємо правою кнопкою миші на контейнері Computers і вибираємо пункт «делегування управління».
    • У майстра делегування управління вибираємо користувача або групу, якій довіримо створювати облікові записи комп'ютерів.Правильним рішенням, на мій погляд, буде створити для цієї мети окрему групу.



    • У наступному вікні відзначаємо пункт «Створити особливе завдання для делегування», тому що в стандартних завданнях немає можливості вибрати створення та видалення облікових записів комп'ютерів.



    • Відзначаємо пункт «Дозволи для створення і видалення дочірніх об'єктів» і вибираємо зі списку пункти «Створення об'єкта комп'ютер »і« Видалення об'єкта комп'ютер ».



    • Тиснемо кнопку Далі, потім Готово. Делегування створено, і тепер на обраних користувачів квота не поширюється.

    На мою думку, найбільш оптимальний спосіб, досить один раз створити групу і делегувати їй повноваження, а потім при необхідності просто додавати в неї користувачів.

    Зміна встановленої за замовчуванням квоти

    • Заходимо в меню Пуск - Адміністрування і вибираємо пункт «Редагування ADSI» (ADSIEdit).



    • Підключаємося до контест іменування домену за замовчуванням.



    • Підключившись, клацаємо правою кнопкою миші на нашому домені і в контекстному меню вибираємо пункт «Властивості».



    • Знаходимо у властивостях атрибут ms-DS-MachineAccountQuota і змінюємо його значення на потрібне нам.



    • Зберігаємо значення і закриваємо оснащення. Квота на додавання комп'ютерів змінена, причому зміни будуть діяти на всіх користувачів, які пройшли перевірку (група Autentificated Users).

    Спосіб досить екстремальний, адже ADSIEdit - інструмент дуже потужний, і його неправильне застосування може призвести до серйозних наслідків.Хоча, якщо чітко розуміти свої дії, то цей посіб нічим не гірше за інших. У будь-якому випадку вибирати вам.

    .