Ciberseguridad

¿Qué es ms-DS-MachineAccountQuota y cómo configurarlo?

Tiempo de lectura: 3 minutos

ms-DS-MachineAccountQuota es un atributo de Active Directory que, por defecto, permite a cada usuario unir hasta 10 equipos al dominio. Esta configuración, considerada insegura, facilita que actores maliciosos inscriban dispositivos no autorizados y comprometan tu infraestructura.

¿Por qué ms-DS-MachineAccountQuota representa un riesgo?

Acceso no gestionado: Un atacante puede sumar un equipo propio sin supervisión.
Falta de protección: Estos dispositivos quedan fuera de antivirus corporativo, EDR y GPOs.
Puertas traseras: Se abren rutas para exfiltrar datos sensibles del dominio o de entornos híbridos.
Evasión de políticas: Las directivas de seguridad (GPO) no se aplican.

Cómo identificar una configuración insegura

1. Con Microsoft Defender for Identity

Instala el sensor de Microsoft for Identity en tu controlador de dominio on-premises. Este componente detecta automáticamente valores predeterminados inseguros y ofrece recomendaciones de mitigación.

Recomendación de seguridad en Microsoft Defender for Identity para establecer ms-DS-MachineAccountQuota a 0 — Microsoft Defender for Identity recomienda limitar `ms-DS-MachineAccountQuota` a 0 para reforzar la seguridad del dominio.

Panel de Microsoft Defender mostrando configuración de dominio insegura — Microsoft Defender for Identity recomienda limitar `ms-DS-MachineAccountQuota` a 0 para reforzar la seguridad del dominio.

2. Con PowerShell

Ejecuta el siguiente comando:

Get-ADObject ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

Comando PowerShell para consultar el valor de ms-DS-MachineAccountQuota — Comprobación manual del valor de `ms-DS-MachineAccountQuota` con PowerShell.

Mitigación: establecer ms-DS-MachineAccountQuota a “0”

Opción A: PowerShell

Set-ADDomain -Identity "TuDominio.local" -Replace @{ 'ms-DS-MachineAccountQuota' = 0 }

Comando PowerShell Set-ADDomain para cambiar ms-DS-MachineAccountQuota a 0 — Uso de PowerShell para establecer `ms-DS-MachineAccountQuota` en 0.

Opción B: GUI (ADUC)

Abre “Usuarios y Equipos de Active Directory” (Win + R → dsa.msc).
Clic derecho en tu dominio → Propiedades.
Activa Características avanzadas.
En Editor de atributos, busca ms-DS-MachineAccountQuota y cambia su valor a 0.
Guarda los cambios.

Editor de atributos de Active Directory mostrando ms-DS-MachineAccountQuota con valor 10 — Valor predeterminado de `ms-DS-MachineAccountQuota` configurado en 10 desde Active Directory.

Recomendaciones adicionales

Audita regularmente el atributo.
Integra Microsoft Defender for Identity para alertas en tiempo real.
Documenta los cambios.

Conclusión y llamada a la acción

Limitar ms-DS-MachineAccountQuota a 0 fortalece tu dominio ante inscripciones no autorizadas y dispositivos maliciosos. Combínalo con Microsoft Defender for Identity, lograrás un monitoreo proactivo y una defensa más robusta.

¿Necesitas ayuda para configurarlo? Nuestro equipo de expertos está listo para apoyarte.
👉 Contáctanos ahora y asegura tu entorno.

Sobre el autor:
Kevin Maldonado, LinkedIn

Técnico de Ciberseguridad en Allbit Solutions, especializado en la protección de entornos Microsoft 365 y endpoints. Cuenta con certificaciones de Microsoft en administración de identidades y seguridad (Identity and Access Administrator Associate, 2025; Azure Security Engineer Associate, 2024), entre otras acreditaciones.

Ver todas