¿Pueden los 'usuarios del dominio' unir computadoras al dominio?

Eso me parece muy poco probable, pero solo para estar seguro: ¿puede un miembro de 'Usuarios de dominio' unir una computadora al dominio (siempre que tenga la cuenta de administrador local)?

El instructor lo dijo y suena muy mal. Lo probé y obtuve 'Acceso denegado' cuando intenté proporcionar las credenciales de los usuarios habituales. ¿Me estoy perdiendo de algo?

Actualización: Obtiene acceso denegado si ya tiene una computadora con ese nombre en AD. Si elimina la cuenta, cualquier usuario con cuenta de administrador local podría unirse a la computadora, creando automáticamente una cuenta en AD. INCREÍBLE.

Sí, pueden unir hasta 10 computadoras por defecto.

Puede revocar este derecho, utilizando la Política de grupo, o cambiar el número máximo de uniones permitidas.

Si esto le preocupa, es muy posible cambiar la ubicación predeterminada donde se crean los nuevos objetos informáticos. Configure el GPO en esa ubicación para que sea muy restrictivo, como deshabilitar la cuenta de administrador local, y al hacerlo, los usuarios terminan con una estación de trabajo mucho más bloqueada de lo que comenzaron. Todo el desincentivo.

La opinión de Microsoft de esto es que el usuario está optando por sus políticas de seguridad y dominio al tener la capacidad de unir máquinas al dominio.

También puede controlar quién ha agregado máquinas a su dominio y luego romper los nudillos si se comportan mal.

Depende de cuáles sean sus políticas internas: tenemos una tienda muy pequeña, pero los desarrolladores tienen prohibido (por palabra de Dios, no GPO) agregar máquinas al dominio.