确保域控制器配置正确是Active Directory安全的关键。其中重要的一点是确保域控制器运行受支持的Windows版本。目前，域控制器应至少运行Windows Server 2016，最好使用Windows Server 2019或2022。由于dMSA问题（https://akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory），暂时不要部署Windows Server 2025域控制器。

用于检查当前域中域控制器操作系统版本和站点位置的Active Directory PowerShell代码：

1
2
3
4

$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
$DomainDCs = Get-ADDomainController -Filter * -Server $DomainDC
$DomainDCs | Select HostName,IPv4Address,OperatingSystem,Site | Sort HostName | Format-Table -AutoSize