Erfahren Sie mehr über Pseudo-Domänenadministratoren und wie Sie dieses identitätsbezogene Risiko mindern können.
Pseudo-Domänenadministratoren sind Benutzerkonten, die nicht zu privilegierten Active
Directory-Administratorgruppen gehören, aber über Domänenverwaltungsrechte verfügen,
die einer Mitgliedschaft in den Administratorgruppen entsprechen. Diese Benutzerkonten
haben die Rechte indirekt über falsch konfigurierte Active Directory-Zugriffskontrolllisten
erworben. Die Existenz dieser Konten könnte potenzielle Risiken in Ihrer Umgebung
darstellen.
Um das Risiko von Pseudo-Domain-Administratoren zu mindern, empfiehlt Trend Micro:
-
Pseudo-Domänenadministratoren aus allen relevanten Gruppen entfernen, die sensible Berechtigungen gewähren.
-
Wenn es mehrere Beziehungen zwischen einem Pseudo-Domain-Administrator und einem echten Domain-Administrator gibt, beginnen Sie damit, die Beziehungen zu löschen, die dem echten Domain-Administrator näher sind.