Суть квоты добавления учетных записей компьютеров


Иногда пробегаешь мимо чего-то, в голове мелькает интересный вопрос, но ответ искать недосуг: в этот момент времени нет, а позже мысль ускользает, потому что это же вопрос, а не проблема требующая решения. И так продолжается долго. И как всегда в поисках одного вдруг попадается ответ на давний вопрос.

Для рядового пользователя существует ограничение на количество компьютеров, которые он может добавить в домен. По умолчанию оно равно 10. Обычная проблема, которая возникает и которую надо решить администратору домена: пользователь получил сообщение об ошибке при добавлении компьютера в домен, что превышена квота:

Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.

Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

Варианты решения приведены в статье http://support.microsoft.com/kb/251335:

1. Предварительное создание администратором учетных записей компьютеров

2. Делегирование права на создание учетных записей компьютеров в контейнере Computers нужным пользователям

3. Увеличение квоты по умолчанию равной 10-ти установкой нового значения атрибута ms-DS-MachineAccountQuota в Active Directory

Все это хорошо известно, но всякий раз, когда мне приходилось с этим сталкиваться, мелькала мысль: а как считается квота, ведь в учетной записи пользователя нет соответствующего атрибута?

И вот случайно попалась статья KB243327 Default limit to number of workstations a user can join to the domain, которая отвечает на этот вопрос.

Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.

Отсюда можно сделать полезные выводы:

1. Квота носит относительный характер, а не абсолютный. За время жизни учетной записи пользователя она может создать сотни учетных записей компьютеров, но именно в момент добавления очередной учетной записи компьютера число учетных записей компьютеров созданных пользователем и существующих в домене должно быть меньше 10-ти

2. Рекомендация по преодолению квоты путем пересоздания учетной записи пользователя совершенно ложная: сработает для одной учетной записи пользователя, но корень проблемы не устранит

3. Надо регулярно чистить AD от мусора: удаляйте старые учетные записи компьютеров, а также пользователей, групп и т.п.

У меня никогда не было проблем с квотами добавления и видимо потому, что имею привычку регулярно удалять мусор J

Реклама

комментария 4

  1. Вообще говоря, предварительное создание учётных записей администратором (или каким-то инструментом автоматизации, интегрированным с системой поставки новых компьютеров) является «рекомендацией лучших собаководов». И для этого есть ещё одна (как минимум) причина кроме описанной в статье. Дело в том, что когда пользователь создаёт объект компьютера, он становится его владельцем и получает на него больше прав, чем необходимо для нормальной работы.

  2. Для тех, кто не в курсе, где может потребоваться менять это число — к примеру для раздачи правильных прав у учётки, используемой для автоматического ввода компьютера в домен:
    http://www.redline-software.com/rus/support/articles/networking/7/deploying-windows-7-part21.php

  3. Я полтора года назад даже скрипт писал по нахождению компьютеров, которые пользователь в домен вводил — http://www.buldakov.ru/?p=711.

  4. […] действия этого ограничения. Илья Сазонов в своем блоге очень внятно об этом […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: