安全性評估:DnsAdmins 群組上的不安全許可權
此建議會列出非特殊許可權使用者之 DNS Admins 群組的任何成員。 特殊許可權帳戶是屬於特殊許可權群組成員的帳戶,例如網域系統管理員、架構系統管理員、只讀域控制器等等。
為什麼檢閱 DnsAdmins 群組的成員很重要?
在 AD 中,DnsAdmins 群組是具有網域內 DNS 伺服器服務系統管理控制權的特殊許可權群組。 此群組的成員能夠管理 DNS 伺服器,其中包括設定 DNS 區域、管理記錄和修改 DNS 設定等工作。
您可以將 DnsAdmins 群組委派給非 AD 系統管理員,例如管理 DNS 或 DHCP 等網路功能的系統管理員,讓這些帳戶成為具吸引力的入侵目標。
如何? 使用此安全性評量來改善我的組織安全性狀態嗎?
檢閱公開的實體清單,以識別具有風險許可權的非特殊許可權帳戶。
從 DnsAdmins 群組中移除帳戶,以對這些帳戶採取適當的動作。 如果某些帳戶需要這些許可權,請只授與他們所需的特定存取權。
例如:
![[無特殊許可權帳戶] 的螢幕快照。](media/unsafe-permissions-dns-admins-group/image.png)