安全评估：更改内置域管理员帐户的密码

此建议列出了环境中密码上次设置超过 180 天的任何内置域管理员帐户。 

组织风险

内置域管理员帐户是默认的高特权 AD 帐户，可完全控制域。 它不能删除，具有不受限制的访问权限，并且对于管理域的资源至关重要。

由于内置管理员帐户的密码较高，因此必须定期更新其密码，这使其成为攻击者的主要目标。 如果遭到入侵，它可以授予对域的未经授权的控制。 由于此帐户通常未使用，并且其密码可能不会经常更新，因此定期更改可减少风险并提高安全性。 

修正步骤

1. 查看公开的实体列表，了解哪些内置域管理员帐户具有旧密码。  

2. 通过重置这些帐户的密码对这些帐户采取适当的操作。  

例如：

后续步骤

• 详细了解Microsoft安全功能分数