Login Inscreva-se
2 min de leitura

Domain Admins em excesso, porque isso acontece?

Domain Admins em excesso, porque isso acontece?

Todo ambiente de Active Directory que avalio tem o mesmo problema.

Não importa o tamanho da empresa. Não importa se é um banco, uma indústria ou uma startup de 50 pessoas. O grupo Domain Admins sempre tem mais membros do que deveria.

Às vezes são 15. Às vezes são 40. Uma vez encontrei 67.

E a maioria das pessoas responsáveis pelo ambiente não sabe explicar por que cada uma delas está lá.

Por que isso acontece?

Domain Admins não nasce com excesso. Ele acumula.

Alguém precisava fazer uma alteração urgente num servidor e o caminho mais rápido foi dar Domain Admin temporariamente. O acesso nunca foi removido.

Um fornecedor pediu acesso elevado para instalar um sistema. O projeto terminou. A conta ficou.

Um administrador saiu da empresa. A conta foi desativada — mas não removida do grupo.

Isso se repete por anos. O grupo cresce. Ninguém questiona porque ninguém tem visibilidade do impacto real.

O que um Domain Admin pode fazer

Domain Admin é o nível mais alto de privilégio em um ambiente Active Directory. Uma conta nesse grupo pode:

  • Acessar qualquer computador do domínio sem restrição
  • Resetar a senha de qualquer usuário — incluindo outros administradores
  • Criar e deletar objetos em qualquer parte do AD
  • Modificar políticas de grupo que afetam todo o ambiente
  • Extrair hashes de senha de qualquer conta do domínio

Quando um atacante compromete uma conta Domain Admin, o ambiente inteiro está comprometido. Não existe contenção parcial. É fim de jogo.

Como auditar o que você tem agora

Antes de qualquer decisão, você precisa saber com o que está lidando. Execute no PowerShell:

powershell

Get-ADGroupMember "Domain Admins" -Recursive |
Select-Object Name, SamAccountName, ObjectClass |
Sort-Object Name

Para cada conta que aparecer, responda três perguntas:

  1. Essa pessoa ainda trabalha aqui?
  2. Ela realmente precisa de Domain Admin para fazer o trabalho dela?
  3. Quando foi o último logon dessa conta?

Para o último logon:

powershell

Get-ADGroupMember "Domain Admins" -Recursive |
Get-ADUser -Properties LastLogonDate |
Select-Object Name, LastLogonDate |
Sort-Object LastLogonDate

Contas que nunca fizeram logon ou não fazem login há mais de 90 dias são candidatas imediatas à remoção.

Qual é o número certo?

Não existe um número universal, mas existe uma referência: para a maioria dos ambientes, entre 2 e 5 contas Domain Admin é o suficiente.

Essas contas devem ser usadas exclusivamente para tarefas que realmente exigem esse nível de privilégio — e não devem ser as contas do dia a dia dos administradores.

Se o seu ambiente tem 30 Domain Admins e você precisa chegar em 5, não faça isso de uma vez. O risco de quebrar algo é real. O caminho é mapear o que cada conta faz, construir um modelo de delegação para cobrir as necessidades legítimas, e remover gradualmente.

O que vem depois?

Reduzir Domain Admins resolve o sintoma. O problema de fundo é a ausência de um modelo de delegação — uma estrutura que define quem tem acesso a quê, em qual escopo, e por qual razão. Isso tem nome: RBAC. E é mais simples de implementar do que parece.

Published by: