Как предотвратить уязвимость NET USER /domain?

Я обнаружил уязвимость в своей сети;

(проявите терпение, так как я работаю всего 2 недели и все еще прохожу обучение).

Любой пользователь конечной точки (независимо от разрешений) может выполнить команду NET USER /domain и просмотреть всех пользователей в домене. Даже если доступ к командной строке отключен, это можно обойти, создав файл блокнота с COMMAND.COM и создав пакетный файл. Мы не можем отключить пакетные файлы, поскольку они активно используются пользователями конечной точки для обычных задач.

К сожалению, эта команда показывает все имена пользователей наших различных тестовых аккаунтов. Многие из этих тестовых аккаунтов имеют очень простые пароли и часто имеют те же пароли, что и имена пользователей. Таких тестовых аккаунтов буквально сотни, и было бы очень неудобно менять пароли/удалять устаревшие аккаунты.

Многие из этих тестовых учетных записей имеют повышенные/административные привилегии (не спрашивайте меня почему, похоже, готовится серьезная утечка).

Есть ли способ предотвратить запуск команды net user /domain? Я знаю, что можно проверить, кто запускал запросы домена, но это на самом деле не предотвращает уязвимость.