Я использую Windows Server 2016 с одним доменом и клиентским компьютером Windows 10 в качестве тестовой лаборатории.
Я начал с чистого листа, поэтому решил переименовать свою учетную запись администратора AD с (administrator) на (admin), используя всплывающее меню переименования активного каталога, на этом этапе все прошло нормально.
Однако я обнаружил, что старое имя учетной записи администратора (администратор) все еще работает! значит теперь у меня 2 админа! пока я вижу только одного администратора, который (admin) переименован в AD.
Когда я тестировал, я обнаружил, что могу использовать оба имени учетной записи на пользовательской машине (администратор) + (админ)!
Я попытался переименовать его снова с (admin) на (adminx), процесс переименования прошел нормально, но снова у меня есть (administrator) + (admin) + (adminx) работают !! но скрыто! и единственное имя учетной записи, которое я вижу, это новое переименованное (adminx) !!
Я попытался изменить пароль для (adminx), изменение прошло успешно, однако я все еще могу использовать (administrator) + (admin) со своими старыми паролями на клиентской машине !!
Я завершил работу, перезапустил, обновил оба, использовал ADSI, расширенный вид AD, команду net user, команды PowerShell, regedit, профили пользователей, которые они только указывают и показывают существующие (adminx), но они не показывают старые два (администратор) + (админ)!
Я подумал, что это могут быть сохраненные учетные данные, поэтому я попытался работать в автономном режиме на клиентской машине, и оказалось, что он не примет ни одно из двух старых имен, но когда я подключусь к AD, он примет их со своими старыми паролями, хотя они не указаны в AD, у меня отображается только (adminx).
Я не знаю, где они скрыты, но они все еще как-то работают и где-то спрятаны, я могу использовать их для выполнения любой административной работы с полными правами, но я не могу войти с их помощью! Я могу использовать их только тогда, когда UAC запрашивает права администратора !
Кто-нибудь знает, где я могу найти эти скрытые учетные записи? так что я могу их удалить ?? или, по крайней мере, мы знаем, сколько еще их в наших системах?
Выполните различные способы входа в систему, а затем найдите журнал безопасности EventId 4624 «Аккаунт успешно вошел в систему». Он даст вам имя учетной записи для сопоставления идентификатора безопасности плюс тип входа в систему. Тип входа 2 означает интерактивный, а тип 11 - кэшированный. Подробности этого события должны помочь вам определить, что происходит.