我们想锁定几个帐户,以防止域管理员在不知道当前密码的情况下重置密码。从我在权限集中看到的情况来看,这似乎是可能的。我发现的有关该主题的所有内容都建议不要更改默认权限,但没有详细说明原因。
假设域管理员保留在不知道当前密码的情况下重置密码的能力,那么阻止域管理员帐户和其他几个帐户的密码重置是否合理?如果不合理,为什么不合理?
答案1
使用 ADSI 编辑应该可以实现。(我知道您知道,但是:使用 ADSI 编辑时要小心)。
但真正的问题是,你必须能够信任“域管理员”。如果你不能信任他们重置重要账户的密码,你怎么能相信他们不格式化 DC?
如果你想保留一些账户特别的,将它们移到 OU 并将其命名为“ImportantAccounts”,并告诉所有域管理员不要重置这些密码!
但是,如果您想在事后追究责任,您可以集中进行安全审计,并跟踪谁重置了哪个密码。