خطأ في تكوين الأمان

يمكن للمستخدمين وأجهزة الكمبيوتر إنشاء حسابات الكمبيوتر وتفويضها

خطأ في تكوين الأمان

مشكلة

تسمح عمليات نشر Active Directory الافتراضية لمستخدمين الدومين وحسابات الكمبيوتر الصالحة بإنشاء ما يصل إلى عشرة (10) حسابات كمبيوتر في الدومين. يتم تكوين هذا الإعداد الافتراضي في سمة MS-DS-Machine-Account-Quota في الدومين.

الإصلاح الموصى به

فيما يلي الخطوات الموصى بها التي يجب على مسؤولين الأنظمة والشبكات اتخاذها لتأمين البيئة.

يمكن للمسؤولين تحديد قيمة السمة عبر ADSI. لعرض السمة عبر ADSI وتعديلها، استخدم الخطوات التالية:

• • افتح  Server Manager باستخدام privileged account، وانقر فوق قائمة الأدوات Tools menu، ثم حدد ADSI Edit

• في نافذة ADSI Edit، حدد Action (الإجراء) وConnect To (الاتصال بـ) وأدخل المعلومات المناسبة للدومين. في أغلب الحالات، تكون الإعدادات الافتراضية صالحة لهذه المهمة. انقر فوق OK (موافق) بمجرد التحقق.

• انقر فوق القائمة المنسدلة لسياق التسمية الجديد، وانقر بزر الماوس الأيمن فوق الدليل الذي يبدأ بـ DC=، وحدد الخصائص Properties 

• في نافذة الخصائص، قم بالتمرير لأسفل إلى ms-DS-MachineAccountQuota، ولاحظ القيمة. قم بخفض القيمة إلى الصفر، أو أي قيمة تراها شركتك مناسبة. 

• عند استخدام جهاز كمبيوتر غير متصل بالدومين للاختبار، حاول ربط الكمبيوتر ببيئة Active Directory. عند التكوين بشكل صحيح، يجب أن يحدث خطأ يشير إلى أن الكمبيوتر غير قادر على الانضمام إلى الدومين. 

يمكن أيضًا تكرار العملية باستخدام PowerShell. استخدم الأمر التالي للاستعلام عن قيمة ms-DS-MachineAccountQuota:

Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-ds-machineaccountquota

استخدم أمر PowerShell التالي لتعيين القيمة إلى صفر (0)، ثم تحقق من القيمة بعد ذلك. تأكد من أن اسم المجال يعكس المجال الحالي

Set-ADDomain -Identity <domain> -Replace @{“ms-ds-machineaccountquota”=”0”}