大家好
公司的AD環境是server 2022,有跟M365做Hybrid,所以有Hybrid exchange跟AADC。
在Tenable的網頁有看到這篇:
https://zh-tw.tenable.com/indicators/ioe/ad/C-PROTECTED-USERS-GROUP-UNUSED
Tenable建議可以把網域管理員帳號加到Protected Users group。
想請教大家,有前輩們把domain administrator 加到這個群組過嗎?
會不會有甚麼問題?
就上面留言的微軟文件內容確定沒影響就可以加
我有加,原因如下
1.該帳戶是新建立好之後賦予domain admin的
2.限制了該帳戶的登入位置,除了DC之外無法在其他網域內的電腦上登入
3.該帳戶只會用來登入DC並且只有在DC登入時使用,沒有其他服務使用該帳戶驗證
該群組的成員就不能再:
1.使用 NTLM 驗證進行驗證。
2.在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。
3.具有不受限制或限制委派的委派。
4.更新 Kerberos TGT 超過其初始四小時的存留期。
基本上除非DC掛了,不然我一點也不希望如此高權限的帳戶走任何的 NTLM 驗證
經過交叉測試沒有影響到日常維護與更新作業,你想提高管理帳戶的安全性就可以加