Os 'Usuários do Domínio' podem associar computadores ao domínio?

Isso me parece muito improvável, mas apenas para ter certeza: um membro de 'Usuários do Domínio' pode associar um computador ao domínio (desde que ele tenha a conta de administrador local)?

O instrutor disse isso e parece muito errado. Eu testei e recebi 'Acesso negado' quando tentei fornecer credenciais de usuários regulares. Estou faltando alguma coisa aqui?

Atualização: você obtém acesso negado se já possui um computador com esse nome no AD. Se você excluir a conta, qualquer usuário com uma conta de administrador local poderá ingressar no computador, criando automaticamente uma conta no AD. INACREDITÁVEL.

Sim, eles podem associar até 10 computadores por padrão.

Você pode revogar esse direito usando a Diretiva de Grupo ou alterar o número máximo de associações permitidas.

Se isso é uma preocupação para você, é bem possível alterar o local padrão em que novos objetos de computador são criados. Defina o GPO nesse local para ser muito restritivo, como desabilitar a conta de administrador local e, assim, os usuários terão uma estação de trabalho muito mais bloqueada do que a inicial. Muito desincentivo.

A visão da Microsoft disso é que o usuário está optando por suas políticas de segurança e domínio ao poder associar máquinas ao domínio.

Você também pode monitorar quem adicionou máquinas ao seu domínio e depois quebrar as juntas após o fato, se estiverem se comportando mal.

Depende de quais são suas políticas internas - temos uma loja muito pequena, mas os Devs estão proibidos (por palavra de Deus, não pelo GPO) de adicionar máquinas ao domínio.