Wir würden gern das Speichern von Domänenadmin-Logindaten vermeiden. Für die Inventarisierung auf Clients und Servern haben wir bereits User hinterlegt, die nur jeweils lokale Admins sind. Wenn es eine Scriptbasierte Inventarisierung (wie bereits für DHCP und DNS) für alle weiteren Dienste (wie ADS) gäbe, könnte man die Angriffsfläche deutlich verringern.
Allerdings: um AD zu scannen reichen normale User-Rechte, lediglich die LDAP-Berechtigungen und GPO's kommen dann nicht mit. Mitunter reicht das aber ja auch aus.