Purple Knight を実行して、Active Directory (Windows Server 2019 を実行している 2 つの DC) に変更が必要なものがあるかどうかを確認しました。それらの要素の 1 つは、「SPN が定義された特権ユーザー」です。
このインジケーターは、adminCount 属性が 1 に設定され、アカウントに ServicePrincipalNames (SPN) が定義されているアカウントを検索します。通常、特権アカウントには SPN を定義しないでください。SPN を定義すると、それらのアカウントの権限を昇格できる Kerberos ベースの攻撃の標的になります。
ただし、見つかったアカウントは通常のユーザーではなく、コンピューターです。1 つはプライマリ DC (以前は Exchange も実行していました)、もう 1 つは Exchange 2019 サーバーです。
情報は見つかりませんでしたコンピュータアカウントすべきだった管理者数設定しましたが、大胆に値を 1 から 0 に変更し、2 週間の休暇を取る前に、これが良いアイデアだと思う人がどれくらいいるか聞いてみようと思いました ;-)