Purple Knight를 실행하여 Active Directory(Windows Server 2019를 실행하는 2개의 DC)에 변경해야 할 사항이 있는지 확인했습니다. 해당 요소 중 하나는 "SPN이 정의된 권한 있는 사용자"입니다.
이 표시기는 adminCount 특성이 1로 설정되고 계정에 정의된 SPN(ServicePrincipalNames)이 있는 계정을 찾습니다. 일반적으로 권한 있는 계정에는 해당 계정에 대한 권한을 상승시킬 수 있는 Kerberos 기반 공격의 대상이 되므로 SPN이 정의되어 있으면 안 됩니다.
그러나 발견된 계정은 일반 사용자가 아닌 컴퓨터입니다. 하나는 기본 DC(이전에 Exchange를 실행하는 데에도 사용됨)이고, 다른 하나는 Exchange 2019 서버입니다.
해당 정보를 찾을 수 없었습니다.컴퓨터 계정가지고 있어야 한다관리자수설정했지만 값을 1에서 0으로 과감하게 변경하고 2주 동안 휴가를 가기 전에 이것이 좋은 생각이라고 생각하는 사람이 몇 명인지 물어볼까 생각했습니다 ;-)