Se eu tiver um controlador de domínio do Windows 2008 ou 2003 em um escritório remoto (e seu próprio site do AD) que seja roubado, que tipo de coisas devo fazer para minha rede ou domínio principal (se houver alguma) em resposta?
A VPN é desativada do endereço IP da rede, portanto não há nada que permita o acesso remoto à rede principal. Eu suponho que, no mínimo, eu gostaria que todos mudassem suas senhas, mas o que mais?
A Microsoft tem algumas recomendações para o que fazer se um DC somente leitura for roubado . Eu não acho que eles vão longe o suficiente, no entanto. Eu me inclino mais para a abordagem descrita aqui . A grande enchilada IMHO é certificar-se de que você imediatamente forçar alterações de senha para todas as contas de domínio; que irá percorrer um longo caminho para reduzir o impacto.
Como a pessoa disse, altere todas as senhas imediatamente. Use também NTDSUTIL e remova todos os vestígios do seu AD à força. Pode parecer um pouco extremo, mas mudar o site em questão para uma sub-rede IP diferente também pode não ser uma má ideia.
Se você estiver usando uma política de senha padrão, seus usuários alterarão suas senhas a cada 30 dias, portanto isso não será um problema.
Eu mudaria todas as senhas do Administrador e, como você já tem: certifique-se de que a VPN não seja reinicializada de um site não autorizado.
Além disso, não acho que haja muito o que fazer.