“Nur Domänen-Administratoren können Computer zur Domäne hinzufügen.” Den Satz habe ich schon oft gehört. Aber: Bei der Installation einer neuen Domäne wird ein Counter eingerichtet, welcher einem Domänen-Benutzer erlaubt, bis zu 10 Computer zur Domäne hinzuzufügen. Das ist die Standardeinstellung. Die Einstellung kann geändert werden und muss auf jeden Fall im IT-Sicherheitskonzept berücksichtigt werden.

Die Einstellung findet man in dsa.msc (erweiterte Features aktivieren!) unter den Eigenschaften der Domäne im Attribut Editor (unter Ansicht alles anzeigen lassen). Der Standardwert ist 10.

Möchte ich das ms-DS-MachineAccountQuota ändern, so kann ich das hier grafisch tun. Ein Wert 0 bedeutet, dass keiner der Domänen-Benutzer berechtigt ist einen Computer zur Domäne hinzuzufügen. Wer lieber in der Befehlszeile arbeitet hier der PowerShell Befehl (Änderung auf maximal 2 Computer).

Set-ADDomain pagr.com -Replace @{"ms-ds-MachineAccountQuota"="2"}

Der Benutzer wird informiert, dass die maximale Anzahl erreicht wurde.

Wie man Computer zur Domäne hinzufügt habe ich im Artikel Step-by-Step: Computer zu einer Active Directory Domäne hinzufügen beschrieben.