如果我发帖的地方不对,请指正,我发现这不是最容易浏览的网站(或者也许是我的问题……)。
在 Microsoft CSAT 扫描之后,我被委托审核和修复我们的特权帐户。我继承了数量惊人的“情感域管理员”帐户 - 293 个!
看来以前的态度一直是安全方面的忌讳——赋予服务帐户域管理员状态以确保它们不是问题的一部分……叹
我研究了许多 powershell 选项并得出结论,我需要:
- 找出每个帐户正在针对哪些服务器进行身份验证(显然包括 DC)。
- 找出最不要求每个服务器的访问权限。
- 相应地修改访问并测试。
有人能就最佳的处理方法提供建议吗?
先感谢您。