Contrôleurs de domaine gérés par des utilisateurs mal intentionnés

En dépit du volume d'assets présents dans l'Active Directory, ce sont les contrôleurs de domaine (DC) qui restent les éléments les plus sensibles. En effet, ils contiennent l'intégralité des assets informationnels (y compris les secrets d'authentification tels que les mots de passe utilisateurs).
Seuls des comptes administrateurs légitimes devraient être habilités à gérer les contrôleurs de domaine.

Les contrôleurs de domaine (DC) devraient avoir des droits d'accès stricts. Seuls des comptes utilisateur dotés de droits élevés devraient pouvoir gérer les objets DC ou lier les nouvelles stratégies de groupe.

Nom: Contrôleurs de domaine gérés par des utilisateurs mal intentionnés

Nom de code: C-DC-ACCESS-CONSISTENCY

Niveau de gravité: Critical