Batasi Right dari Domain Users di Active Directory Domain Services Anda
Kasus dimana ordinary user dapat melakukan joining ke domain dengan menggunakan privilege mereka, masih dapat dilakukan di domain Windows Server 2008 R2.
Misalkan kita memiliki sebuah user account, dan kita tempatkan di suatu OU (pada dasarnya tidak masalah berada di kontainer atau OU manapun).
Kemudian lakukan login ke sebuah komputer desktop sebagai local administrator. Jika kita tes untuk menjoinkan komputer desktop tersebut ke domain dengan menggunakan privilege user Andi, pasti dapat dilakukan dengan sukses, karena secara default, ordinary user dapat menjoinkan workstation maksimal 10 cukup dengan menggunakan privilege yang mereka miliki.
Bagaimana dengan disjoin domain? Apakah reguler user ini masih dapat melakukannya? Mari kita lihat. Kembali lakukan login sebagai user reguler ke domain.
Kembali buka Properti dari Computer.
Kemudian klik Change settings.
Kegagalan yang akan kita temui. Jadi reguler user hanya dapat menjoinkan workstation mereka tetapi tidak dapat mendisjoinkannya.
Mengapa hal ini dapat terjadi? Kita dapat menceknya dengan membuka Default Domain Controller Policy, melalui Group Policy Management, sebagai berikut. Yang kita perlu lihat adalah right untuk Add workstation to domain, seperti berikut ini.
Pada gambar di atas, terlihat bahwa Autenticated Users memiliki right untuk men-joinkan workstation ke domain. Dengan melakukan perubahan pada Group Policy ini, Anda dapat meningkatkan keamanan dari Active Directory Domain Services (ADDS) Anda. Semoga dapat bermanfaat….