Wie verhindern Sie eine NET USER/Domain-Sicherheitslücke?

Ich habe eine Schwachstelle in meinem Netzwerk entdeckt;

(haben Sie Geduld mit mir, ich bin erst seit etwa zwei Wochen im Job und noch in der Ausbildung).

Jeder Endpunktbenutzer (unabhängig von Berechtigungen) kann einen NET USER /domain-Befehl eingeben und alle Benutzer in der Domäne anzeigen. Selbst wenn der Zugriff auf die Eingabeaufforderung deaktiviert ist, kann dies umgangen werden, indem eine Notizblockdatei mit COMMAND.COM erstellt und eine Batchdatei erstellt wird. Wir können Batchdateien nicht deaktivieren, da sie von Endpunktbenutzern für normale Aufgaben häufig verwendet werden.

Leider zeigt dieser Befehl alle Benutzernamen unserer verschiedenen Testkonten an. Viele dieser Testkonten haben sehr einfache Passwörter und oft dieselben Passwörter wie Benutzernamen. Es gibt buchstäblich Hunderte dieser Testkonten und es wäre sehr umständlich, die Passwörter zu ändern/die veralteten Konten zu löschen.

Viele dieser Testkonten verfügen über erhöhte Administratorrechte (fragen Sie mich nicht, warum, es scheint sich hier um einen massiven Datendiebstahl zu handeln).

Gibt es eine Möglichkeit, die Ausführung des Befehls „net user /domain“ zu verhindern? Ich weiß, dass Sie nachverfolgen können, wer Domänenabfragen ausgeführt hat, aber das schließt die Sicherheitslücke nicht wirklich.