# Désactiver l'ajout de PC dans le domaine pour les utilisateurs Par défaut, un utilisateur de base peut enregistrer jusqu’à 10 PC au sein du domaine AD. Cette configuration par défaut représente un problème de sécurité, car les utilisateurs de base ne doivent pas être en mesure de créer de tels comptes et cette tâche doit être gérée par les administrateurs. L’objectif de ce KB est de s’assurer que les utilisateurs du domaine ne peuvent pas enregistrer d’ordinateurs supplémentaires dans le domaine. # Solutions > [!info] À savoir !<span style="font-weight: normal; color: var(--text-normal)"> Si vous avez besoin de définir la délégation à un compte, afin qu’il puisse ajouter des ordinateurs au domaine, cela peut être fait de 2 manières : Délégation dans l’unité d’organisation ou en attribuant le _SeMachineAccountPrivilege_ à un groupe spécial.</span> ## Solution recommandée : Pour résoudre le problème, limitez le nombre d’ordinateurs supplémentaires pouvant être enregistrés par un utilisateur de base. Il peut être réduit en modifiant la valeur de _ms-DS-MachineAccountQuota_ à zéro (0). > [!danger] Attention !<span style="font-weight: normal; color: var(--text-normal)"> L’utilisation incorrecte d’Adsiedit peut entraîner des problèmes graves qui peuvent vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l’utilisation incorrecte d’Adsiedit peuvent être résolus. Utilisez Adsiedit à vos propres risques.</span> Pour modifier Active Directory afin d’autoriser plus (ou moins) de comptes d’ordinateur sur le domaine, utilisez l’outil Adsiedit. 1. Adsiedit est installé automatiquement lorsque vous installez le rôle Services de domaine Active Directory. 2. Exécutez Adsiedit.msc en tant qu’administrateur du domaine. 3. Développez le nœud **Domaine NC** . Ce nœud contient un objet qui commence par « DC= » et reflète le nom de domaine correct. Cliquez avec le bouton droit sur cet objet, puis sélectionnez **Propriétés**. 4. Dans la zone **Sélectionner les propriétés à afficher** , sélectionnez **Les deux**. Dans la **zone Sélectionner une propriété à afficher** , sélectionnez **ms-DS-MachineAccountQuota**. 5. Dans la zone **Modifier l’attribut** , tapez 0. 6. Sélectionnez **Définir**>**OK**. > [!info] À savoir !<span style="font-weight: normal; color: var(--text-normal)"> Si la valeur de l’attribut ms-DS-MachineAccountQuota n’est pas définie (le programme la voit comme « Infinie »), il n’y au pas de limite à l’ajout par ordinateur. </span> ## Solution alternative Une autre solution peut consister à supprimer le groupe « Utilisateurs authentifiés » dans la stratégie des contrôleurs de domaine. Cette méthode n'est pas décrite dans ce KB # Ressources : - https://docs.microsoft.com/troubleshoot/windows-server/identity/default-workstation-numbers-join-domain [http://prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/](http://prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/) - [http://blog.backslasher.net/preventing-users-from-adding-computers-to-a-domain.html](http://blog.backslasher.net/preventing-users-from-adding-computers-to-a-domain.html) - [Mitre Att&ck - Atténuation - Gestion des](https://attack.mitre.org/mitigations/M1018) - [ANSSI - Jonction de domaine sans restriction (vuln4_user_ accounts_machineaccountquota)](https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_user_accounts_machineaccountquota)