PingCastle Domain Risk Level

Non-admin users can add up to 10 computer(s) to a domain

Security

Hinzufügen von Computern durch Benutzer verhindern

Zur Sicherung bzw. zur weiteren Härtung des Environments gehört es auch, die Standardrichtlinie zu deaktivieren bzw. über eine GPO individuell anzupassen.  Die Maßnahme gehört in die Kategorie Domain Controller Hardening.

Ohne Anpassung, darf ein Benutzer bis zu 10 Computer in die Domäne heben.

Das dafür tragende Attribut lautet ms-DS-MachineAccountQuota. Mit der Powershell lässt sich der aktuelle Wert auslesen und direkt anpassen.

Hinzufügen von Computern durch Benutzer verhindern

Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

Set-ADDomain -Identity dwp.local -Replace @{“ms-DS-MachineAccountQuota”=”0”}

Non-admin users can add up to 10 computer(s) to a domain

Über den ADSI-Editor navigiert man zu diesem Pfad

ADSIEDIT ms-DS-MachineAccountQuota

Wer mit PingCastle arbeitet und seine Bewertung auf Vordermann bringen möchte, setzt diese Maßnahme um.

PingCastle Non-admin users can add up to 10 computer(s) to a domain

https://www.der-windows-papst.de/2016/01/03/dienstprogramme-tools-und-helferlein/