AD에 추가가능 컴퓨터 수

기본적으로 domain-users그룹에 포함된 사용자는 10대의 Machine 을도메인에 참여시킬수 있습니다

이런 쿼터의 제한은 ms-DS-MachineAccountQuota 속성에서 정의하게 됩니다. 이 값을 늘려주면 10대이상의 설정도 가능합니다

여기서 domain admins와 account operators 그룹에 포함된 계정은 이설정에서 제외되기 무제한 가능합니다

도멘인에서 Machine 추가시에 기본 아키텍처는 다음과 같습니다

1. 사용자가 도메인에 machine을 참여시킵니다. (Local Admin권한 필요)

2. 도메인 컨트롤러는 사용자가 default computer container에 Computer Objects를 Create할 권한이 있는지를 체크합니다.

3. 만약, 사용자가 필요 권한을 가지고 있다면, ms-DS-MachineAccountQuota 를 체크하지 않고, Computer Objects 생성에 성공합니다.

4. 만약, 사용자가 필요 권한을 가지고 있지 않다면, 도메인 컨트롤러는 그 사용자가 “Join workstations to the domain”권한을 가지고 있는지 여부를 체크합니다.

5. 만약, 사용자가 권한을 가진다면, ms-DS-MachineAccountQuota를 체크합니다. 사용자에 의해서 생성된 object수가
ms-DS-MachineAccountQuota보다 작으면, Computer Objects 생성에 성공합니다.

6. 만약, 사용자가 “Join workstations to the domain”권한이 없으며 작업 실패가 되고, 사용자가에 다시 권한 요청을 하게 됩니다.

만약, 사용자가 ms-DS-MachineAccountQuota에 정의된 수보다 초과하여 Computer Objects 생성하려 하면 작업 실패가 되고

사용자에게 더 이상 도메인에 Machine을 참여시킬 수 없음을 알려 줍니다.


[관련 자료]
Domain users cannot join workstation or server to a domain (kb251335)
http://support.microsoft.com/kb/251335/en-us
Default Limit to Number of Workstations a User Can Join to the Domain (kb243327)
http://support.microsoft.com/kb/243327/en-us
What is ms-DS-MachineAccountQuota?
http://www.msresource.net/knowledge_base/articles/info:_how_does_ms-ds-machineaccountquota_work.html

댓글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.