Los problemas de seguridad no provienen de la presencia de cuentas de usuario "anónimas", sino de que el usuario realmente las usa para realizar acciones (porque entonces el usuario ya no es responsable: los registros le dirán que "el Administrador lo hizo" y no " Bob lo hizo "). Registrar como una cuenta simplemente significa conocer la contraseña asociada y usarla (sin embargo, las cuentas se pueden bloquear impidiendo su uso para sesiones interactivas; eso se hace con GPO).
El auditor está teniendo una reacción instintiva: vio "muchas" de esas cuentas y, por lo tanto, lanzó la advertencia genérica sobre las cuentas anónimas. Sin embargo, esto es un tanto erróneo: el número de tales cuentas no es el problema; una sola cuenta de usuario anónima puede ser suficiente para perder la responsabilidad. Es solo que el auditor pensó que la presencia de todas estas cuentas es de alguna manera indicativa de una tradición local generalizada de usar cuentas anónimas. Un auditor más concienzudo habría analizado comportamientos , para ver si los usuarios realmente usan cuentas no nominativas en sus trabajos diarios, en lugar de encender sin pensar "Usuarios y computadoras de Active Directory" y contar las cuentas.
En general, es posible que desee "bloquear" las cuentas de no usuarios; Una forma simple es asegurarse de que ningún humano conozca las contraseñas correspondientes. Si la contraseña se debe ingresar como parte de una operación de configuración, entonces la contraseña se debe recuperar de la caja fuerte donde se guarda (impresa en algún papel). Dado que tales contraseñas no tienen que ser recordadas , y se escriben con poca frecuencia, pueden ser largas, complejas y aleatorias.