Quando uma conta de computador é pré-testada, as permissões na conta mostra quem tem o 
privilegio de adicionar esse computador no dominio.Se essa conta não é pré-testada, por 
padrão o Windows permitirá que qualquer usuário autenticado crie um objeto computador no 
conteiner padrão de computadores.Na realidade, o Windows permetirá a qualquer usuário 
autenticado criar no maximo dez objetos computador no conteiner padrão computadores.O 
criador de um objeto computador por padrão tem permissão de adicionar esse computador ao 
dominio.
Essa cota de dez computadores é configurada pelo atributo ms-DS-MachineAccountQuota do 
dominio.Isso é problematco da perspectiva da segurança, porque computadores são entidades de 
segurança (security principals) e o criador de uma entidade de segurança tem a permissão de 
gerenciar as propriedades desse computador.
 

Para fechar essa brecha voce precisa alterar o atributo ms-DS-MachineAccountQuota, para isso 
siga os passos abaixo.

1. Abra o ADSI Edit localizado no Administrative Tools.

2. Clique com o botão direito do mouse em ADSI Edit e escolha connect To.

3. Na seção Connection Point, escolha Select A Well Known Namming Context,e, na lista suspensa, escolha Default Namming Context, e clique em OK.

4. Expanda Default Namming Context, clique com o botão direito do mouse na pasta de dominio (ex: dc=domain,dc=com), e escolha Properties.

 

5. Selecione ms-DS-MachineAccountQuota e clique em Edit.

6. Digite 0 e clique em OK.