由於危險存取權限，部分網域控制器可由非系統管理使用者管理。

儘管 Active Directory 資產數量眾多，網域控制器儲存了所有這些資產資料 (包括使用者密碼等驗證密碼)，因而最具機密性。
 僅有合法的系統管理帳戶才可管理這些資產。

權限提升

長期潛伏

網域控制器的權限必須合理，因為這會影響整個 Active Directory 網域。

必須正確設定網域控制器的所有者，因為這會影響整個 Active Directory 網域。

應只有正當帳戶才能對 GPO 物件/檔案進行變更。

GPO 的所有者已變更，這可能是來自攻擊者的後門程式或影響網域安全性的設定錯誤。

如果網域控制器容器與網域控制器組織單位不同，則可能會導致在這些 DC 上擁有危險特權。

網域控制器父容器的權限必須合理，因為這會影響整個 Active Directory 網域。

必須正確設定網域控制器父容器的所有者，因為這會影響整個 Active Directory 網域。