Не уверен, что это относится к Serverfault, но вот оно.
В классической среде с использованием локального компьютера и пользователя, присоединенного к объявлению, хорошо известно, что пользователю не следует предоставлять права администратора, потому что хэш другой более разрешенной учетной записи домена может быть извлечен и повторно использован. Так что я полностью согласен, что это небезопасно.
Небольшие данные, которые у нас есть, в настоящее время перемещаются в MS Teams, и больше нет приложений, использующих нашу локальную AD. Я хотел бы переместить каждое устройство, которое у нас есть, в управляемую среду intune. Основная причина Самообслуживание. Когда ваша машина выходит из строя, либо восстановите ее с нуля, либо купите новую. Войдите в систему, используя свой вход в Azure AD. Об остальном позаботится автопилот.
Чтобы пойти еще дальше, я считаю, что нужно вернуть контроль над всей машиной нашим пользователям. Я бы по-прежнему контролировал эти компьютеры, чтобы убедиться, что на них не установлено вредоносное программное обеспечение, но в остальном они могут делать то, что им нравится. Если они сломают это .. они могут исправить это, используя сброс системы и начать заново.
Программа-вымогатель не требует прав администратора, а данные, хранящиеся на жестком диске, могут быть легко восстановлены. Каждый пользователь, входящий в систему на этом устройстве, будет использовать Office MFA / Modern Auth.
Так каковы же риски безопасности, помимо повышенного риска того, что вредоносное ПО дает конечным пользователям административные права?