Elimine todos los miembros del grupo Administradores de esquema, a no ser que esté activamente cambiando el esquema.

Por qué es algo que se debe considerar

Solo los miembros del grupo de administradores de esquema pueden modificar el esquema, por lo que únicamente deberían agregarse cuentas a este grupo cuando se requiera un cambio en el esquema y, después, deberían retirarse. Este enfoque ayuda a evitar que un atacante comprometa una cuenta de administrador de esquema, lo que podría tener consecuencias graves.

Puedes ver a un ingeniero de clientes explicando el problema

Contexto y prácticas recomendadas

Los miembros del grupo Administradores de esquema pueden realizar cambios en el esquema. El esquema es la definición subyacente de todos los objetos y atributos que forman el bosque.

La pertenencia al grupo de administradores de esquema solo se requiere para realizar cambios. Dado que raramente se realizan cambios en el esquema, se recomienda que el grupo Administradores de esquema permanezca vacío, excepto cuando se realicen cambios de forma activa.

Este enfoque ayuda a reducir la posibilidad de que se produzcan cambios de esquema por accidente. Además, agrega una capa de seguridad en la que, para que una persona pueda hacer un cambio de esquema, primero tiene que formar parte del grupo.

Acciones recomendadas

Elimine cualquier miembro que haya en el grupo Administradores de esquema.

Implemente un proceso para asegurar que solo se agreguen cuentas a este grupo cuando se deba cambiar el esquema, y para eliminarlas una vez termine de hacerlo.