Коллективному разуму, добрый вечер. Есть домен с парком компьютеров в 100

голов. Почти на каждом компе был произведен вход под домено-админской учеткой (уже не выяснить - зачем).
На сайте winitpro было написано (и не раз !), что такого лучше не делать - mimikatz и все такое. Но что есть - то есть. Это уже имеющийся факт. Отсюда вопрос

Как теперь удалить с компов домено-админскую учетку?
Чтобы никакого кэша, реестра и т.д.

systempropertiesadvanced - не помогает. кнопка удаления админа - серая.

https://winitpro.ru/index.php/2013/07/22/sbros-parolya-administratora-active-directory/

какая у вас цель? начните с того что смените пароль админа АД

Не понятна сама логика вопроса. Кэш пароля? Смените пароль в домене. Эксплуатация уязвимости станет почти невозможной. Для логина под старым паролем нужно отключить сеть, но если отключить сеть, то какая тогда сетевая атака?

$user= Get-AdUser USER | $_.Sid.Value Get-WmiObject -ComputerName comp1 -Class Win32_UserProfile | Where {($user -eq $_.Sid)} | Remove-WmiObject

Этот скриптик лучше на отдельных машинах применять, я думаю. В политики лучше не вставлять

Спасибо. Я там выше спрашивал уже - есть скрипты, которые проверяют запущенные процессы от имени администратора на контроллерах/е контроллерах?

Вроде там же на winitpro описывается как очищать кеш где хранятся пароли, делается через GPO все настройки. Но есть одна проблема не будет доступа к серверу пользователь не зайдет. "Отсутствует сервера которые могут обработать данный запрос". Так что с начало настроить хороший бэкап Инфраструктуры с проверкой работоспособностью при восстановления.