Ejecuté Purple Knight para ver si hay cosas en nuestro Active Directory (dos controladores de dominio que ejecutan Windows Server 2019) que deberían cambiarse. Uno de esos elementos es "Usuarios privilegiados con SPN definido".
Este indicador busca cuentas con el atributo adminCount establecido en 1 Y ServicePrincipalNames (SPN) definidos en la cuenta. En general, las cuentas privilegiadas no deben tener SPN definidos, ya que esto las convierte en objetivos de ataques basados en Kerberos que pueden elevar los privilegios de esas cuentas.
Sin embargo, las cuentas encontradas no son de usuarios habituales sino de ordenadores. Uno es nuestro DC principal (usado también para ejecutar Exchange antes), el otro es nuestro servidor Exchange 2019.
No pude encontrar ninguna información quecuentas de computadoradebería teneradministradorContarestablecido, pero antes de cambiar audazmente el valor de 1 a 0 y luego irme de vacaciones por dos semanas, pensé en preguntar cuántos piensan que esto sería una buena idea ;-)