Active Directory 安全提示 #6：域控制器操作系统版本

确保正确的域控制器配置是 Active Directory 安全的关键。其中一部分是确保它们运行受支持的 Windows 版本。目前，域控制器应至少运行 Windows Server 2016，最好是 Windows Server 2019 或 2022。由于 dMSA 问题（https://akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory），暂时不要部署 Windows Server 2025 域控制器。

用于检查当前域的域控制器操作系统版本和站点位置的 Active Directory PowerShell 代码：

1
2
3
4

$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
$DomainDCs = Get-ADDomainController -Filter * -Server $DomainDC
$DomainDCs | Select HostName,IPv4Address,OperatingSystem,Site | Sort HostName | Format-Table -AutoSize