Переход от учетной записи администратора домена

Я собираюсь взять противоположную тактику как @TheCleaner.

Хэши паролей этих учетных записей администратора домена, вероятно, лежат по всей вашей сети, просто ожидая сценария передачи хэша. Поэтому я рекомендую немедленно удалить эти учетные записи из администраторов домена и начать использовать их в качестве пользователей с ограниченными правами. (Вы все еще должны изменить пароли тоже.)

Этот метод также имеет явные преимущества: он не требует какого-либо профиля "voodoo" и, как мы надеемся, не меняет никаких прав доступа к таким ресурсам, как домашние каталоги, которые в любом случае должны были иметь имя пользователя. Это также сохраняет почтовые ящики Excahnge на месте.

Создайте новые учетные записи администраторов домена с ограничениями на вход, ограниченными только компьютерами контроллера домена. Эти учетные записи никогда не должны использоваться ни для чего, кроме входа на компьютеры контроллера домена, чтобы ограничить использование их хэшей паролей.

Это будет сложный переход, и вы столкнетесь с тем, что работало на клиентских компьютерах только потому, что ваши учетные записи неявно были членами локальной группы "Администраторы". Вы, вероятно, можете сделать эту таблетку немного легче проглотить, используя вложение другой группы (скажем, "Бывшие администраторы домена"), чтобы предоставить этим учетным записям права локального администратора. В конце концов вы тоже захотите отойти от этого.

Вот моя быстрая рекомендация... поскольку в этот момент вы можете легко работать "задом наперед", чтобы получить то, что вы хотите.

1. Переименуйте существующие учетные записи в AD во что-то вроде "Mark-Admin". Измените их отображаемое имя и имя пользователя (имя пользователя). SID останется прежним, так что по сути это похоже на то, как кто-то переходит от своей девицы к фамилии замужем. Все разрешения и т. Д. Везде остаются прежними.
2. Создайте для каждой из них новые учетные записи с низкими привилегиями, которые теперь называются "Mark" (какими бы ни были их старые обычные имена пользователей, к которым они привыкли). Предоставьте этим учетным записям разрешения для их домашней папки и / или любые другие разрешения, к которым эта обычная учетная запись должна иметь доступ. Вам также нужно будет перенести через систему Exchange/ систему электронной почты информацию (адреса электронной почты и т. Д.) Из старой учетной записи в эту учетную запись. Имейте в виду, что их адрес электронной почты, вероятно, используется в качестве регистрационной информации для O365 или других порталов, если вы не используете единый вход.
3. Удалите все разрешения, к которым "Mark-Admin" больше не нужен доступ, если таковые имеются.
4. Используйте инструмент, такой как ForensIT Profile Wizard, на своей рабочей станции, чтобы перенести свой профиль со старого SID (теперь имя пользователя Mark-Admin) на новый SID (Mark)... вернув им свой рабочий стол / профиль / и т. Д. как будто они всегда использовали это на этом счете.
5. Для порталов входа / аутентификации, которые не предлагают единого входа (возможно, ваш O365, Sharepoint и т. Д.), Вам нужно как-то обновить их. Например, с O365, если вы не синхронизируете с AD, вам нужно будет обновить его напрямую, создав новую учетную запись или изменив права существующей учетной записи. Это будет основано на вашей настройке. Например, если они в настоящее время входят в систему с адресом электронной почты, то этот адрес, очевидно, будет перенесен в учетную запись с низким уровнем привилегий (Mark), и вам потребуется другая настройка адреса для Mark-Admin.
6. прибыль