Agora é um bom momento para parar de executar serviços como a conta de administrador de domínio.
Import-Module ActiveDirectory
Foreach ($comp in Get-ADComputer -Filter *)
{
$services = Get-WMIObject win32_service -Computername $comp
Foreach($svc in $services)
{
If($svc.StartName -eq "DOMAIN\Administrator" -or $svc.StartName -eq "Administrator@DOMAIN")
{
Write-Error "THE $svc.Name SERVICE ON $comp IS RUNNING AS DOMAIN ADMIN"
}
}
}
Algo nesse sentido. Supondo que você execute o script com credenciais suficientes e tenha acesso à conectividade de rede e firewall e tal a todos os computadores do local em que executa o script, ele deve ser executado em todos os computadores do domínio, obter todos os serviços de cada computador e alertar quando encontrar um que esteja sendo executado como administrador do domínio. Modifique para atender às suas necessidades.
Editar: se por algum motivo você não puder fazer isso, poderá obter algumas informações decentes vasculhando os logs de eventos de segurança em todos os seus controladores de domínio, procurando logons pela conta de administrador do domínio e pelo computador de.