Supongo que le preocupa que los Usuarios de dominio utilicen el privilegio predeterminado para agregar hasta 10 estaciones de trabajo al dominio, sin permiso de administrador de dominio.
Para controlar quién tiene acceso para agregar usuarios al dominio, edite esta política de seguridad local en el DC
Configuración del equipo | Configuraciones de Windows | Configuraciones de seguridad | Asignación de derechos de usuario | Agregar estaciones de trabajo al dominio
A continuación, si desea ver quién agregó una estación de trabajo al dominio, sugeriría ver:
Además, has preguntado:
Supongamos que el usuario se conecta de forma no simultánea y puede cambiar el nombre de su máquina para que coincida con el nombre de una máquina "autorizada".
Hay dos partes en esto: la suplantación de Kerberos y la suplantación de NetBIOS. Dependiendo de la configuración de su GPO, es posible que una persona cambie el nombre y se haga pasar por uno o ambos tipos de autenticación para una "máquina no autorizada" determinada.
Si el impostor puede convencer a DNS, que está protegido por una ACL, y puede editar AD (mediante SPN u otra función administrativa), es posible suplantar un servidor Kerberos. Depende de tu aplicación detectar esta suplantación. Un ejemplo de suplantación es Windows Terminal Server 2008 y más reciente. Aparecerá un cuadro de diálogo que indica que hay una conexión de red insegura.
Por otro lado, la autenticación basada en NTLM puede tener "impostores" y es casi imposible para el cliente detectar esto. La única defensa que tienes es deshabilitar NTLM y usar Kerberos exclusivamente.
Si necesita usar NTLM para algunos hosts y no para otros, siga las sugerencias de Eric G.