В нашей среде Windows у наших администраторов домена есть только одна учетная запись пользователя. Эта единственная учетная запись пользователя используется повсеместно, в том числе на повседневной рабочей станции. При переходе от этой практики мы ищем передовые методы настройки администраторов домена в дальнейшем.
Очевидным первым шагом является переход по умолчанию на учетные записи с низким уровнем привилегий и эскалация приложений по мере необходимости. Поскольку мы впервые переходим к этой настройке, мы не знаем, что нам следует искать и какие изменения мы должны внести. И в более широком масштабе, как это влияет на то, что мы являемся администраторами SharePoint? Администраторы Office 365? и т.д..
Какие ресурсы есть или вы можете предоставить?
Я собираюсь пойти по другому пути, как @TheCleaner.
Хэши паролей этих учетных записей администратора домена, вероятно, лежат по всей вашей сети, просто ожидая сценария передачи хэша. По этой причине я бы рекомендовал вам немедленно удалить эти учетные записи у администраторов домена и начать использовать их как ограниченных пользователей. (Вам все равно следует изменить пароли.)
Этот метод также имеет явные преимущества, заключающиеся в том, что он не требует никакого профиля «voodoo» и, надеюсь, не меняет никаких разрешений на ресурсы, такие как домашние каталоги, которые в любом случае должны были иметь имя пользователя. Это также сохраняет почтовые ящики Excahnge на месте.
Создайте новые учетные записи администратора домена с ограничениями входа в систему, ограниченными только компьютерами контроллера домена. Эти учетные записи никогда не должны использоваться для чего-либо, кроме входа в систему на компьютерах контроллеров домена, чтобы ограничить раскрытие их хэшей паролей.
Это будет трудный переход, и вы столкнетесь с вещами, которые работали на клиентских компьютерах только потому, что ваши учетные записи пользователей неявно входили в локальную группу «Администраторы». Возможно, вам будет легче проглотить эту таблетку, используя другую группу (скажем, «Бывшие администраторы домена»), чтобы предоставить этим учетным записям права локального администратора. В конце концов, вы захотите уйти и от этого.
Вот моя быстрая рекомендация ... так как вы можете легко работать "в обратном направлении" на этом этапе, чтобы получить то, что хотите.