Во многих организациях Active Directory воспринимается как последний рубеж обороны.
Логика простая: если защитили Domain Admin, значит защитили всё предприятие.
На практике это опасная иллюзия.
Если злоумышленник уже закрепился во внутренней сети, получил доступ к рабочим станциям, нашёл сервисные учётные записи и начал перемещаться между серверами, компрометация домена часто становится лишь вопросом времени.
Поэтому главный вопрос должен звучать не так:
Как сделать так, чтобы Domain Admin никогда не взломали?
А так:
Что останется у организации, если Domain Admin уже скомпрометирован?
Domain Admin не должен означать доступ ко всему
Администратор домена нужен для управления Active Directory.… Читать далее…
