Windows Server 2012 - Remover permissão para usuários ingressar máquinas no domínio

Qualquer usuário do Active Directory tem a permissão de inserir até dez máquinas no domínio, isso é um comportamento padrão. Porém para a maioria das organizações esse comportamento não é recomendável.

Temos a opção de remover essas permissões, fazendo com que apenas usuários com as devidas permissões (concedidas pelo administrador) consigam inserir máquinas no domínio.

Existe um atributo no Active Directory que faz com que qualquer usuário consiga inserir até dez máquinas no domínio, esse atributo é o "ms-DS-MachineAccountQuota" ele é definido a nível de domínio,  ele é definido com o valor "10", ou seja, qualquer usuário do domínio consegue inserir até dez máquinas no domínio por padrão. Para removermos essa permissão, basta zerar esse valor, para isso devemos abrir a ferramenta "Usuários e computadores do Active Directory", após devemos habilitar os recursos avançados.

Exemplo:

Após habilitar os recursos avançados devemos ir nas propriedades do domínio:

Exemplo:

Nas propriedades do domínio, devemos ir na guia "Attribute Editor" e editar o atributo "ms-DS-MachineAccountQuota".

Exemplo:

Devemos definir o valor para 0 (zero), assim os usuários não conseguirão inserir máquinas no domínio (deverá ser delegada a permissão para inserir máquinas no domínio).

Exemplo:

Agora qualquer usuário do domínio não tem mais a permissão de inserir 10 máquinas no domínio, para que determinado usuário ou grupo consiga inserir máquinas no domínio deve-se delegar a permissão de inserir máquinas no domínio.