Я запустил Purple Knight, чтобы посмотреть, есть ли в нашем Active Directory (два контроллера домена под управлением Windows Server 2019) вещи, которые следует изменить. Один из этих элементов — «Привилегированные пользователи с определенным SPN»
Этот индикатор ищет учетные записи с атрибутом adminCount, установленным на 1, и ServicePrincipalNames (SPN), определенными для учетной записи. В общем случае, привилегированные учетные записи не должны иметь определенных SPN, поскольку это делает их целями для атак на основе Kerberos, которые могут повысить привилегии для этих учетных записей.
Однако найденные учетные записи не являются обычными пользователями, а компьютерами. Один из них — наш основной DC (ранее он также использовался для запуска Exchange), другой — наш сервер Exchange 2019.
Я не смог найти никакой информации, чтоучетные записи компьютеровдолжен иметьadminКоличествоустановлено, но прежде чем смело менять значение с 1 на 0, а затем отправиться в отпуск на две недели, я подумал, что стоит спросить, кто из вас считает это хорошей идеей ;-)