禁用默认管理员用户。这是主要攻击途径之一。

限制域管理员权限的使用。不要以管理员用户身份运行，并考虑基于时间的特权提升。在安装 AD 时，可以通过实施身份验证策略隔离来使管理帐户处于与其他用户不同的单独的林中。此配置可能需要外部专家、培训和附加工具来实现。规划设计和配置，并实施监控和日志记录极其重要。

实施新的 AD 增强功能，例如受保护的组、受限的 RDP、基于时间的组成员身份和测试。考虑使用入侵检测系统，因为 AD 包含了所有“王国的钥匙”。

使用不同的服务器来访问 RDP 和 MMC。作者遇到了一个直接在其上托管 RDP 角色服务的DC，导致不得不重新规划和配置，从而保证 DC 环境的“干净”。

在 DC 上安装第三方应用程序时，请谨慎并信任供应商。

通过网络过滤限制对 DC 的互联网访问，并考虑采用深度防御方法。微软建议使用 Defender for Identity（身份防御器），这需要部署传感器并获取许可。这是一个独立的订阅，也包含在高级 SKU 中，包括 Enterprise Mobility + Security 5 suite （EMS E5）。

管理员应建立一个程序来加固 DC，补丁和修复，并维持一个适当的安全基线。例如，防止从 DC 上浏览网页。微软建议采取以上行动来保护 DC 免受攻击。

使用本地管理员密码解决方案（LAPS）来管理加入域的计算机上的本地管理员密码。它可以随机分配本地管理员的密码。