Remover todos os membros do grupo Schema Admins, a menos que você esteja alterando ativamente o esquema

Por que Considerar isso

Somente os membros do grupo Schema Admins podem modificar o esquema, portanto, as contas só devem ser adicionadas a esse grupo quando uma alteração no Esquema for necessária e removida posteriormente. Essa abordagem ajuda a impedir que um invasor comprometa uma conta de Administrador de Esquema, o que pode ter consequências sérias.

Assista à explicação de um Engenheiro de Clientes sobre o problema

Contexto e Práticas Recomendadas

Os membros do grupo Schema Admins têm permissão para fazer alterações no esquema. O esquema é a definição subjacente de todos os objetos e atributos que compõem a floresta.

Uma associação ao grupo de Schema Admins não é necessária para nenhum propósito além de fazer alterações de esquema. Como as alterações de esquema são uma ocorrência relativamente rara, é recomendável que o grupo Schema Admins permaneça vazio, exceto quando fizer alterações ativamente.

Essa abordagem ajuda a reduzir a possibilidade de que ocorram alterações de esquema acidentais. Além disso, adiciona uma camada de segurança extra, pois qualquer pessoa que deseja fazer uma alteração de esquema terá primeiro que se adicionar ao grupo.

Ações sugeridas

Remova todos os membros do grupo de Schema Admins.

Implemente um processo para garantir que as contas sejam adicionadas a este grupo somente quando houver uma necessidade para alterar o esquema, e para garantir que essas contas sejam removidas posteriormente.