Отключение возможности сотворения учетных записей компа обыкновенными пользователями в домене Active Directory

Описание и решение трудности

По дефлоту, в домене Active Directory, хоть какой пользователь может добавить до 10 компов в домен. Эта возможность очень непонятна исходя из убеждений безопасности, в особенности беря во внимание, что есть популярные незащищенности CVE-2021-42278 и CVE-2021-42287, позволяющ?? перехватывать управление доменом. Отключается это последующим образом:

1. Открываем оснастку «Active Directory — пользователи и компы».
2. Открываем пункт меню «Вид», и включаем пункт «Доп составляющие».
   
3. Жмем правой клавишей по имени доменного имени, и в контекстном меню избираем пункт «Характеристики».
   
4. Переходим на вкладку «Редактор атрибутов».
   
5. Находим атрибут «ms-DS-MachineAccountQuota», и открываем его двойным щелчком.
   
6. Ставим ему значение 0, после чего закрываем все ранее открытые окна нажатием кнопки «ОК».