在 AD 中重命名帐户会使其以隐藏的方式工作

在 AD 中重命名帐户会使其以隐藏的方式工作

我正在使用具有单个域的 Windows Server 2016 和 Windows 10 客户端计算机作为测试实验室。

我已全新开始,因此我决定使用活动目录重命名弹出菜单将我的 AD 管理员帐户从 (administrator) 重命名为 (admin),此时一切顺利。

但是我发现旧的管理员帐户名(administrator)仍然有效!这意味着我现在有 2 个管理员了!而我只能看到一个管理员,即 AD 中新重命名的管理员(admin)。

当我测试时,我发现我可以在用户机器上使用两个帐户名称(管理员)+(管理员)!

我尝试将其从 (admin) 重命名为 (adminx),重命名过程顺利,但我再次看到 (administrator) + (admin) + (adminx) 正在运行!!但被隐藏了!我能看到的唯一帐户名是新重命名的 (adminx)!!

我尝试更改 (adminx) 的密码,更改成功,但是我仍然可以在客户端机器上使用 (administrator) + (admin) 及其旧密码!

我关闭、重新启动、更新两者,使用 ADSI、AD 高级视图、网络用户命令、PowerShell 命令、regedit、用户配置文件,它们仅指向并显示 (adminx) 的存在,但它们不显示旧的两个 (administrator) + (admin)!

我认为它可能是保存的凭据,因此我尝试在客户端计算机上离线工作,结果发现它不会接受这两个旧名称中的任何一个,但是当我连接到 AD 时,它会接受它们的旧密码,尽管它们没有在 AD 中列出,我只显示了(adminx)。

我不知道它们隐藏在哪里,但它们仍然以某种方式工作并隐藏在某个地方,我可以使用它们以完全权限执行任何管理员工作,但我无法使用它们登录!,我只能在 UAC 要求管理员权限时使用它们!

那么有人知道我可以在哪里找到这些隐藏的账户吗?这样我就可以删除它们了?或者至少我们知道我们的系统中还有多少个?

答案1

执行各种登录方法,然后查找安全日志EventId 4624 “帐户已成功登录”。它将为您提供帐户名称到安全 ID 的映射以及登录类型。登录类型 2 表示交互式,但类型 11 是缓存登录。该 eventid 的详细信息应该可以帮助您确定发生了什么。

相关内容