Active Directory 安全提示 #13：审查外部安全主体

审查组中来自另一个Active Directory林（技术上来说是另一个域，但这里使用“林”的概念）的账户和组的成员身份。这些被称为“外部安全主体”，如下图所示高亮显示的部分。这些FSP是存在于另一个林但在当前AD林中拥有权限的账户。任何FSP都应被仔细审查，并在非必需的情况下移除。严格审查和控制这些主体至关重要，因为它们可能具有高特权。在此示例中，另一个AD林的沦陷将导致当前AD林的沦陷。

用于扫描特权组中FSP的PowerShell脚本：Invoke-FindPrivilegedFSPs.ps1