Если у меня есть контроллер домена Windows 2008 или 2003 в удаленном офисе (и его собственный сайт AD), который был украден, что я должен делать с моей основной сетью или доменом (если есть) в ответ?
VPN отключен от IP-адреса сети, поэтому нет ничего, что позволило бы им получить удаленный доступ к основной сети. Я предполагаю, что как минимум я бы хотел, чтобы все изменили свои пароли, но что еще?
У Microsoft есть несколько рекомендаций по что делать, если украден DC только для чтения. Однако я не думаю, что они зашли достаточно далеко. Я больше склоняюсь к описанному подходу Вот. ИМХО большая энчилада - убедиться, что вы немедленно принудительно меняете пароли для всех учетных записей домена; это будет иметь большое значение для уменьшения воздействия.
Как сказал человек, немедленно смените все пароли. Также используйте NTDSUTIL и принудительно удалите все его следы из вашего AD. Это может показаться немного экстремальным, но изменение рассматриваемого сайта на другую подсеть IP тоже может быть неплохой идеей.
Если вы используете довольно стандартную политику паролей, ваши пользователи меняют свои пароли каждые 30 дней, так что это не должно быть проблемой.
Я бы изменил все пароли администратора, и, как вы уже сделали: убедитесь, что VPN не запускается повторно с мошеннического сайта.
Кроме этого, я не думаю, что есть чем заняться.