安全评估：更改内置域管理员帐户的密码

此建议列出你环境中最后一次设置密码超过 180 天的任何内置域管理员帐户。 

组织风险

内置域管理员帐户是一个默认的、具有高度特权的 AD 帐户，可完全控制域。 它不能被删除，具有不受限制的访问权限，对于管理域的资源至关重要。

由于内置管理员帐户的高权限，这使其成为攻击者的主要目标，因此定期更新其密码至关重要， 如果遭到入侵，它可以授予对域的未经授权的控制。 由于此帐户通常未使用，并且其密码可能不会经常更新，因此定期更改可以降低风险并增强安全性。 

修正步骤

1. 审查公开实体的列表，以发现哪些内置域管理员帐户具有旧密码。  

2. 对这些帐户采取适当的措施，重设密码。  

例如：

后续步骤

• 详细了解 Microsoft 安全功能分数