Dans Active Directory (AD), il existe par défaut une fonctionnalité permettant à un utilisateur standard de joindre jusqu'à dix ordinateurs à un domaine sans droits administratifs spécifiques. Cette capacité a été mise en place pour simplifier l'administration réseau dans les environnements de petite taille ou à faible complexité, en permettant aux utilisateurs de gérer eux-mêmes l'intégration initiale de leurs postes sans devoir solliciter systématiquement un administrateur système.
Cependant, cette possibilité présente également des risques potentiels en matière de sécurité. En effet, permettre à tout utilisateur de joindre des ordinateurs au domaine sans contrôle peut favoriser l'introduction de machines non conformes ou non sécurisées au sein du réseau, exposant ainsi l'infrastructure à des vulnérabilités accrues. De plus, un usage non maîtrisé pourrait conduire à une croissance incontrôlée du parc informatique, rendant sa gestion plus complexe.
Il est donc fortement recommandé de bloquer cette capacité par défaut et de la réserver exclusivement aux utilisateurs dûment accrédités, tels que des administrateurs ou du personnel informatique désigné. Cette approche garantit un meilleur contrôle des accès au domaine, assure la conformité des ordinateurs connectés aux règles internes de sécurité, et maintient ainsi l'intégrité et la sécurité globales de l'infrastructure informatique.
La méthode la plus simple est de désactiver la possibilité pour les utilisateurs d'ajouter des postes via PowerShell. Remplacez les champs concernant votre domaine dans la commande ci-dessous et exécutez-la :
Set-ADDomain -Identity "DC=AFPAPAUER,DC=INFO" -Replace @{"ms-DS-MachineAccountQuota"="0"}