ビュー:

[疑似制限付きドメイン管理者] と、この種のID関連のリスクを軽減する方法について説明します。

疑似制限付きドメイン管理者は、特定の初期設定のActive Directoryセキュリティグループには属していないが、セキュリティグループのメンバーシップと同等の制限付きドメイン管理権限を持っているユーザアカウントです。これらのユーザアカウントは、誤って設定されたActive Directoryアクセス制御リストを介して権限を間接的に取得していました。これらのアカウントが存在すると、環境に潜在的なリスクが生じる可能性があります。
制限付きドメイン管理権限は、次の初期設定のActive Directoryセキュリティグループのメンバーシップに相当します。
  • サーバオペレータ
  • バックアップオペレータ
  • アカウントオペレータ
  • プリンタオペレータ
  • DNS管理者
  • グループポリシー作成者 所有者
  • リモートデスクトップユーザ
疑似制限付きドメイン管理者のリスクを軽減するために、 トレンドマイクロ は次のことを推奨します。
  • 機密性の高い権限を付与する関連グループから、疑似制限付きドメイン管理者を削除します。
  • 疑似制限付きドメイン管理者と正規のセキュリティ管理者の間に複数の関係がある場合は、セキュリティ管理者に近い関係を削除することから始めます。