コンピューターをドメインに参加させることが出来るユーザーはドメインで認証された全てのユーザーです。
(ただし、10回までという制限はありますが・・・)
しかし、参加させることの出来るユーザーを限定することも可能です。
こうすることによって、無造作にコンピューターをドメインに参加させないようにすることが出来ます。

flex_000886

設定はGPOエディターでDefault Domain Controller Policyを開き、「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」内の「ドメインにワークステーションを追加」で行ないます。

flex_000887

 デフォルトでは、Authenticated Usersに設定されています。
つまりドメインに認証されたユーザーです。

flex_000888

 flex_000889

別のグループに変更してみます。
これで指定したグループ(+Domain Admins)に属するユーザーしか、コンピューターをドメインに追加することが出来ません。

flex_000629
 
指定したグループに属するユーザー以外でドメインに参加させようとすると、エラーメッセージが表示され参加させることができません。

flex_000630
flex_000631
 
イベントログにもエラーが出力されています。

flex_000632
 
指定したグループに属するユーザーでは、正常にドメインに参加させることが出来ました。