万一它对其他人有帮助,尽管我会总结各种文档似乎建议的最佳做法(尽管我怀疑并非所有人都会同意!):
1.您绝对不应该删除管理员帐户
2.关于是否应禁用该帐户的意见仍然很不统一(即使在不同的Microsoft网站上)。但是,大多数(包括引用Server 2016的最新MS文档)都说您不应该禁用该帐户。如果将DC引导到安全模式,它将自动重新启用。
3.
a)您应该重命名管理员帐户,并删除描述中对“ admin” /“ administrator”等单词的任何引用
b)您应使用与其他用户名相同的虚拟用户名/名字/姓氏标准用户帐户
c)您应该给它一个长/复杂密码
4.您应该创建一个名为“ Administrator”的诱饵帐户,该帐户没有特殊权限或用户权限。成为攻击者的想法会愚弄于专注于此帐户。
关于目录还原,这将完全不受这些更改的影响。这是一个特殊帐户(在执行DC-Promo时创建),并且与AD数据库中的管理员帐户不同。