No estoy seguro de que tus expectativas de seguridad sean realistas.
Si alguien obtiene acceso a su DC de una manera que le permita cambiar contraseñas de cuentas arbitrarias, entonces tiene muchos problemas más grandes de los que preocuparse.
Si podrían reiniciar el sistema para forzar el cambio de la contraseña para que tenga efecto (después de lo cual, sus medidas de seguridad adicionales hipotéticas entrarán en vigor), entonces:
1.) Acceso de inicio de sesión remoto al sistema, lo que significa que no necesitan para reiniciar el sistema para este propósito porque ya están en él.
o
2.) El acceso físico al sistema, que prácticamente omite cualquier seguridad lógica adicional que tenga, excepto el cifrado del disco duro.
Digamos, por el bien del argumento, que son capaces de reiniciar el sistema pero aún no pueden iniciar sesión en él. En este punto, efectivamente han DoSed todos los servicios que proporciona el sistema, lo que requiere que usted mantenga el sistema conectado en todo momento. Tal vez esto no sea tan importante como si realmente tuvieran acceso lógico al sistema. Pero, dependiendo de cuán críticos sean esos servicios, podría tener un impacto significativo en su organización.
La lección aquí es asegurarse de que los servidores que requieren un alto nivel de CIA (Confidencialidad, integridad o disponibilidad), como los sistemas que ejecutan servicios críticos y los controladores de dominio a los que responden, estén bien protegidos físicamente y separados de sus otros sistemas menos seguros en la medida de lo posible, tanto física como lógicamente.
Creo que el dicho dice algo así: "Si permite que alguien (ya sea intencionalmente o por falta de seguridad adecuada) tenga acceso físico a su sistema, entonces el sistema ya no es suyo". Lo mismo ocurre especialmente para los controladores de dominio. Si permites que alguien ejecute comandos arbitrarios en tu controlador de dominio, entonces el dominio ya no es tuyo.