מי יכול להוסיף מחשבים לדומיין?

התשובה מתחלקת לשלושה חלקים:

1. לפני שאסביר מי יכול להוסיף מחשבים לדומיין ישנה הגדרה שיכולה להגביל את כמות המחשבים שכל משתמש יכול להוסיף לדומיין. מה שאומר שיש פה שני דברים, הראשון הוא הרשאה להכניס מחשב לדומיין שאת זה אני אסביר עוד רגע, והשני היא ההגדרה שיכולה להגביל אותך גם אם יש לך הרשאה. כברירת מחדל, כל משתמש עם הרשאות יכול להוסיף 10 מחשבים לדומיין. אפשר לשנות את ההגדרה באמצעות הכלי ADSIEdit.msc. כאשר נלחץ על המאפיינים של הדומיין עצמו ייפתח לנו ממשק ושם נוכל לשנות (אם יש לנו הרשאות כמובן) את הערך של ms-DS-MachineAccountQuota לכמה שנרצה. אם נרצה שלא תהיה הגבלה מה שקורה ברוב הארגונים נשים את הגדרה זו על 0.
2. עכשיו להרשאה עצמה.
   ההגדרה הבאה היא דרך הGPO. נשנה את ההגדרה בנתיב הבא:
   Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Add workstations to Domain
   כברירת מחדל מה שיופיע שם הם Authenticated users. מה שאומר שלפי הGPO כולם יכולים להוסיף מחשבים לדומיין. נוכל לשנות את ההגדרה הזו לפי מה שנרצה.
3. הדבר האחרון הוא Deligation Control. זוהי הגדרה בdsa.msc על תיקיות מסוימות.
   נגיד והגדרנו את ההגדרה ms-DS-MachineAccountQuota ל0 כך שלמשתמשים עם הרשאות לא תהיה מגבלה להוסיף מחשבים לדומיין והגדרנו בAdd workstations to Domain בGPO שנוכל להוסיף משתמשים. אבל שכחנו דבר אחד.
   כאשר נוסיף מחשב לדומיין הוא ייווצר בתור תיקיה מסוימת בdsa.msa. ולכן במידה ולא תהיה לנו הרשאה מתאימה על התיקייה, לא נוכל להוסיף מחשבים לדומיין לא משנה כמה הרשאות יהיו לנו.
   לכן נצטרך להוסיף הרשאות על התיקייה שבה נוצרים האובייקטים של המחשבים לראשונה הרשאות create computer objects כמו בתמונה.
   בעזרת הפקודה redircmp מהDC נוכל לשנות את ולראות את ההגדרה של התיקייה הדיפולטית שבה נוצרים המחשבים כאשר הם מצטרפים לדומיין.

ממליץ בחום לבדוק את ההגדרות האלה בדומיין שאתם עובדים עליו במידה ויש אחד כזה. להבין מה מוגדר ואולי אפילו מוגדר שם משהו לא נכון או לא אופטימלי.