uSing netDom remoteLy reQuireS fire

uSing netDom remoteLy reQuireS firewaLL configurationIf you want to use NetDom remotely, the Windows Firewall confguration on the computerthat will be joined to the domain must allow Network Discovery and Remote Administration.www.finebook.ir214 chaPter 5 Confguring Computer AccountsSecure Computer Creation and JoinsIt is important to secure your enterprise so that only appropriate users can create computeraccounts and join computers to the domain. The following sections outline best practicesfor managing computer account creation and domain joins.Prestaging Computer ObjectsThe best practice is to prestage a computer account prior to joining the computer tothe domain. Unfortunately, Windows allows you to join a computer to a domain withoutfollowing best practices. You can log on to a workgroup computer as a local administratorand change the computer’s membership to the domain. Then, on demand, Windows createsa computer object in the default computer container, gives you permission to join a computerto that object, and then proceeds to join the system to the domain.There are three problems with this behavior of Windows:n First, the computer account created automatically by Windows is placed in thedefault computer container, which is not where the computer object belongs in mostenterprises.n Second, you must move the computer from the default computer container intothe correct OU, which is an extra step that is often forgotten.n Third, any user can do this—no domain-level administrative permissions are required.Any user can join any computer to the domain if you don’t manage and secure theprocess. Because a computer object is a security principal, and because the creator ofa computer object owns the object and can change its attributes, this exposes a potential security vulnerability. The next sections detail these disadvantages.

Sử dụng NetDom từ xa đòi hỏi cấu hình tường lửa
Nếu bạn muốn sử dụng NetDom từ xa, các confguration Windows Firewall trên máy tính
đó sẽ được gia nhập vào miền phải cho phép Network Discovery và quản trị từ xa.
www.finebook.ir214 Chương 5 Confguring tài khoản máy tính
bảo mật máy tính Sáng tạo và tham gia
Điều quan trọng là để đảm bảo doanh nghiệp của bạn để chỉ những người dùng thích hợp có thể tạo ra máy tính
tài khoản và tham gia máy tính vào miền. Các phần sau đây phác thảo thực hành tốt nhất
để quản lý tạo tài khoản máy tính và miền tham gia.
Prestaging Computer Objects
Các thực hành tốt nhất là Prestage một tài khoản máy tính trước khi tham gia máy tính để
các tên miền. Thật không may, Windows cho phép bạn tham gia vào một máy tính đến một miền mà không
theo thông lệ tốt nhất. Bạn có thể đăng nhập vào một máy tính nhóm làm việc như một quản trị viên địa phương
và thay đổi thành viên của máy tính vào miền. Sau đó, theo yêu cầu, Windows sẽ tạo ra
một đối tượng máy tính trong container máy tính mặc định, cho phép bạn tham gia vào một máy tính
cho đối tượng đó, và sau đó tiến tới gia nhập hệ thống để tên miền.
Có ba vấn đề với hành vi này của Windows:
n đầu tiên , tài khoản máy tính tự động tạo ra bởi Windows được đặt trong
thùng máy tính mặc định, đó không phải là nơi mà các đối tượng máy tính thuộc trong hầu hết các
doanh nghiệp.
n thứ hai, bạn phải di chuyển máy tính từ container máy tính mặc định vào
đúng các OU, mà là một phụ bước mà thường bị lãng quên.
n thứ ba, bất kỳ người sử dụng có thể làm được điều này, không có miền cấp quyền quản trị được yêu cầu.
Bất kỳ người dùng có thể tham gia bất kỳ máy tính để tên miền nếu bạn không quản lý và đảm bảo các
quá trình. Bởi vì một đối tượng máy tính là một hiệu trưởng an ninh, và bởi vì các tác giả của
một đối tượng máy tính sở hữu các đối tượng và có thể thay đổi các thuộc tính của nó, điều này cho thấy một lỗ hổng bảo mật tiềm năng. Các phần tiếp theo chi tiết những bất lợi.