一句话 之 AD -- 禁止非管理账户将计算机加入域--设置ms-DS-MachineAccountQuota属性值为0

最新推荐文章于 2023-10-22 23:19:55 发布
最新推荐文章于 2023-10-22 23:19:55 发布
阅读量4.3k 收藏 1
点赞数
分类专栏: Active Directory (2008 r2) windows server 2008 (R2) 系统管理 "一句话" 文章标签: 工具 domain windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinaitv/article/details/7328222
版权

默认情况下,windows允许任何通过身份验证的用户将10个计算机对象加入域。

可通过下面的操作,关闭这一默认权限:

 

-)”管理工具“--打开“ADSI Edit”工具;

-)右键“ADSI Edit” -- “连接到”;

-)“连接点”选项卡--“选择一个已知命名上下文”--“默认命名上下文”;

-)“确定”

-)展开“默认命名上下文”;

-)右键“dc=domain,dc=com”--“属性”;

-)ms-DS-MachineAccountQuota -- “编辑”;

-)输入0 (零);

-)“确定” ,完成。

chinaitv
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ad管理与维护_自动化清理AD活动用户
weixin_39943750的博客
11-02 1067
当员工离职时,他们的帐户仍会保留在Active Directory(AD)中,如果不刻意关注则较难发现。该帐密一直保存,这也成为了潜在危害。为了安全起见,企业应对不活动或过期用户帐户进行清理。Microsoft允许管理员使用用户和计算机(ADUC)工具中的查询功能来跟踪不活动用户。管理员可以创建一个查询,并根据上次登录时间设置账户闲置情况,如图1所示。图1. Microsoft查询功能列出活...
Powermad:PowerShell MachineAccountQuota和DNS利用工具
05-24
PowerShell MachineAccountQuota和DNS利用工具 维基 博客文章 职能 MachineAccountQuota函数 默认的Active Directory ms-DS-MachineAccountQuota属性设置允许所有用户向一个中最多添加10个计算机帐户。 Powermad包括一组用于利用ms-DS-MachineAccountQuota的功能,而无需将实际系统附加到AD。 Get-MachineAccountAttribute 该函数可以返回在计算机帐户属性中填充的值。 例子: 从机器帐户名称“ test”获取值“ description”。 Get-MachineAccountAttribute -MachineAccount test -Attribute discription Get-MachineAccountCreator 此功能利用
计算机名称重复能加吗,关于加入计算机名称修改
weixin_42298507的博客
07-26 2602
最近在做加入的客户端更名,由于计算机数量众多且较分散,通过IPSec链接的网络并不稳定,改名退然后加,太过繁琐耗时。对于加入计算机,默认情况下,只有计算机管理员级别的用户才能更改,普通用户无法更改名称;这种现象很明显是权限导致。当然,普通用户肯定不能加入管理员组,一般情况下,普通用户都已经分配有客户端计算机管理员权限。在计算机加入的同时,会默认在AD的 Computers目录下自...
win2008计算机用户批量删除用户管理员权限_渗透技巧:MachineAccountQuota的利用...
weixin_39903477的博客
12-04 745
MachineAccountQuota(MAQ)是一个级别的属性,默认情况下允许特权用户将最多10台计算机连接到Active Directory(AD。我第一次接触MAQ是在我作为网络管理员的时候。当时我被分配了一个将远程主机加入AD的任务。在添加了十台计算机后,当我再次尝试添加新机器时弹出了下面的错误消息:搜索错误消息后,我发现了ms-DS-MachineAccountQuota这个页面...
清除过期\禁用AD帐号的组信息
weixin_33782386的博客
02-18 315
背景: 用户离职后不会立刻删除清理,但如果不清理组信息,就会造成邮箱群组还包含这些用户。不可用,邮箱满等等提示让一些发件人很不爽。以下脚本为清理禁用帐号组信息。查询用户所属组信息清理用户组信息脚本原文(SearchBase后面可以跟详细的要进行操作的OU或对象)照顾一下复制党$users = Get-ADUser -Filter {enabled -eq"false"}...
AD-限制windows用户多点并发登录.docx
09-30
本文将为您详细介绍如何限制Windows用户多点并发登录,通过使用GPMC创建GPO和脚本来实现用户登录限制。 标题解释 AD-限制windows用户多点并发登录是指在Active Directory中限制用户多点并发登录,以防止...
AD-解锁/禁用/用户
12-22
在IT管理,Active Directory(AD)是微软提供的一种服务,用于集中管理和控制网络资源,包括用户账户计算机、打印机等。"AD-解锁/禁用/用户"这个主题涉及到了AD环境中对用户账户的常见操作,即解锁、禁用以及...
QM4002AD-VB一种N沟道TO252封装MOS管
最新发布
12-25
QM4002AD-VB是一款N沟道的MOS场效应晶体管,采用TO252封装,专为高效能应用设计。该器件的主要特点是采用了TrenchFET技术,这是一种先进的制造工艺,旨在降低导通电阻并提高开关性能,从而在电力转换和管理中实现更...
151-12位AD_DS1621与12864液晶(51单片机C语言实例Proteus仿真和代码)
06-15
151-12位AD_DS1621与12864液晶(51单片机C语言实例Proteus仿真和代码)151-12位AD_DS1621与12864液晶(51单片机C语言实例Proteus仿真和代码)151-12位AD_DS1621与12864液晶(51单片机C语言实例Proteus仿真和代码)151-12位...
AD部署项目-第三方软件AD备份恢复测试报告V1.1.pdf
11-16
AD部署项目-第三方软件AD备份恢复测试报告V1.1.pdf
1.12-你的计算无法加入,已超出此所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制,如何解决?
封枫丰
10-22 2188
1.你的计算无法加入,已超出此所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制 2.如何做加权限管控?
内网渗透--环境下基于资源的约束委派利用
sangfor_edu的博客
07-21 402
内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在中常见计算机账户的个数,默认是10。那么这就代表我们如果拥有一个普通的用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...
谁可以将工作站添加到
allway2的博客
01-09 734
在交付给客户的众多安全审核和评估过程中,通常会发现Active Directory中配置的权限和用户权限范围太广。其中之一是“将工作站添加到”。有3个项目可能会影响谁可以将计算机添加到: ms-DS-MachineAccountQuota 它是“命名上下文”对象的属性。此属性指定单个用户可以向中添加多少台计算机。默认值为10。可以使用包括ADSIEdit.msc在内的其他工具来修改此值...
最新靶场场景 Active Directory 权限提升漏洞(CVE-2022-26923)
ZetaByte的博客
05-29 534
近日,Active Directory 服务组件被爆出存在特权提升漏洞,蛇矛实验室率先构建出了完整的靶场复现和利用环境,目标环境是基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现工作。
AD的搭建和操作使用
互联网知识分享
04-06 8899
AD是Active Directory的缩写,它是基于windows的一个组合,它可以集中控制加入的所有计算机的权限,更高效的分配权限、提高资料的安全性、节省管理成本等等。公司的网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用管理模式,因为可以提供一种集中式的管理,这相比于对等网的分散管理常多的好处,大多数公司来说都需要用到管理来实现方便管理等好处。(4)一但进入的AD,会给你分配重新的一个桌面,但软件还给你保留着,其它的文件,会没有。
权限提升漏洞CVE-2022-26923在MAQ=0时的利用分析
Jinmindong
03-10 564
控的MAQ值设置为0,即不允许内普通用户新建机器账户,只能算是一种缓解措施,因为攻击者可以利用已有的机器账户进行攻击,而不需要新建一个机器账户。及时打补丁和升级才是最稳妥的措施。之前的CVE-2021-42278和CVE-2021-42287的漏洞也可以利用此思路来利用。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(常重要)2、渗透测试基础(一周)
普通用户将计算机加入的数量上限是10
热门推荐
mooncarp的专栏
06-01 1万+
在将计算机加入的时候,如果你“委派”了一个普通的用户,授予这个用户具有“将计算机加入”的权限,则这个普通的用户,默认只能将10台具有不同的计算机加入,当超过10台时,将会弹出“您的计算机无法加入,已超出此所允许创建的计算机帐户的最大值”,如图4所示。 对于这个问题,可能在Active Directory控制器上,使用adsiedit.msc工具修改。 (1)
计算机加入的注意事项
weixin_34413103的博客
04-07 593
Windows NT引入“Domain)”概念之后,到Windows 2000将改名为Active Directory,直到现在的Windows Server 2012 R2,Microsoft仍然在使用Active Directory这一名词。现在许多单位已经习惯了使用Active Directory管理单位网络。在此将在使用Active Directory的一些问题整理出来,供大家分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值