windows – 从仅限Domain Admin帐户过渡

这些Domain Admin帐户的密码哈希值可能遍布您的网络,只是等待传递哈希的方案.因此,我建议您立即从Domain Admins中删除这些帐户,并开始将其用作受限用户. (您还应该更改密码.)

这种方法还有一个明显的优点,即不需要任何配置文件“voodoo”,并且希望不会改变对主目录等资源的任何权限,这些权限本应该是用户命名的.这也可以保留Excahnge邮箱.

创建新的Domain Admin-member帐户,其登录限制仅限于域控制器计算机.除了登录到域控制器计算机之外,不应将这些帐户用于限制密码哈希值的暴露.

这将是一个艰难的过渡,并且您将遇到仅在客户端计算机上工作的事情,因为您的用户帐户是本地“管理员”组的隐式成员.您可以使用另一个组嵌套(例如,“前域管理员”)为这些帐户提供本地管理员权限,从而使这个药丸更容易吞下.最终你也会想要摆脱它.