Jeder Domänen Benutzer (Stand 09.2020) hat Standardmäßig das Recht (ms-DS-MachineAccountQuota), bis zu 10 Computer zur Domäne hinzuzufügen. Möchte man das verhindern, was ich dringendst empfehle, ist das recht schnell umzusetzen.
Via ADSI-Editor
Via Powershell
Set-ADDomain -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}Zum Überprüfen ob die Einstellung gesetzt ist, kann man folgendes nutzen:
(Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota).'ms-DS-MachineAccountQuota'0 = Domänen Benutzer dürfen keine Computer in die Domäne aufnehmen
1 = Domänen Benutzer dürfen Computer in die Domäne aufnehmen
Möchte man überprüfen welche Clients ein Benuter zur Domäne hinzugefügt hat, kann man folgendes Skript nutzen:
$clients = Get-AdComputer –filter * –property ms-DS-CreatorSID | select name, ms-DS-CreatorSID
$aduser = Get-ADUser –Filter *
foreach ($client in $clients)
{
foreach ($user in $aduser)
{
$test = $user.SID.Value
if ($client –like ‘*’ + $Test + ‘*’)
{
Write-Host $user.name hat den PC $client.name zur Domaene hinzugefuegt!
}
}
}Das Ergebniss sieht dann in etwa wie folgt aus:
