AdminCount, AdminSDHolder y SDProp | TIEngranaje

¿Ha notado que algunos de sus objetos de usuario de Active Directory lista de control de acceso (ACL) parecen estar «restableciendo» de forma continua volver a la configuración predeterminada? Si es así, no es un error en Active Directory… probablemente sea debido a SDProp.

Con el lanzamiento de los servicios de dominio de Active Directory en Windows 2000, el AdminSDHolder Se introdujo el objeto y el proceso Security Descriptor Propagator (SDProp). Se introdujo por primera vez como una revisión con Windows 2000 pero luego incluido en Windows 2003 SP2.

El objetivo principal era proteger a los usuarios y grupos privilegiados de tener su Lista de control de acceso (LCA) modificado. En el dominio de Active Directory, hay un objeto llamado AdminSDHolder que se encuentra en el System contenedor del dominio.

El AdminSDHolder objeto tiene un LCA únicaque se utiliza para controlar la permisos de ciertos principales de seguridad que son miembros de grupos integrados privilegiados de Active Directory, que se denominarán grupos «protegidos».

De forma programada, que es cada hora por defectose ejecuta un proceso en segundo plano en el emulador de PDC llamado SDProp. Con el proceso SDProp, un comparación se realiza entre la ACL en todos los principales de seguridad, que incluyen objetos de usuario, grupo y equipo que pertenecen a grupos «protegidos» contra la ACL en la AdminSDHolder objeto de referencia

Si la comparación produce resultados diferentesel descriptor de seguridad del objeto se sobrescribe con el descriptor de seguridad del AdminSDHolder objeto. Este proceso por hora garantiza que los usuarios y grupos que son miembros de estos grupos «protegidos» permanezcan seguro.

Además, la herencia está deshabilitada en estas cuentas privilegiadas, lo que impide que los permisos aplicados en el objeto principal se apliquen a los objetos secundarios en estos grupos «protegidos».

La frecuencia de la AdminSDHolder proceso, o SDProp, depende de una entrada de registro llamada AdminSDProtectFrequency encontrado aquí (valor en segundos 60 – 7200):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

El valor se puede ajustar pero es recomendado para dejar la configuración predeterminada de 60 minutos. El máximo el valor puede ser de 120 minutos. Si desea determinar si un principal de seguridad se ve afectado por SDProp, puede ver el propiedades del objeto mediante ADSIEdit o el Editor de atributos en ADUC.

una cosa para nota es que si un principal de garantía cae fuera del alcance de AdminSDHolder porque lo sacaron de un grupo protegidoel adminCount El atributo y la configuración de herencia no se restablecen automáticamente. Tendrá que restablecer el adminCount y volver a habilitar la configuración de la herencia manualmente o a través de script.

Generalmente debería evitar uso de cuentas administrativas para la rutina diaria para prevenir problemas que pueden aparecer que dependen de ciertas configuraciones de seguridad, como con la aplicación Blackberry Enterprise Server. Elimine a los usuarios regulares de ser miembros de estos grupos protegidos, como los administradores de dominio.

Sin embargo, si es necesario, puede cambiar los permisos predeterminados en cuentas administrativas para reflejar las necesidades de su organización. Puede hacerlo modificando los permisos en:

cn=AdminSDHolder,cn=System,dc=domain,dc=ext

Esto se puede lograr usando Dsacls.exe. Dsacls.exe está disponible como parte de la Windows Herramientas de apoyo. Para obtener más información, lea un artículo: http://go.microsoft.com/fwlink/?LinkID=44321.

Algunos recursos adicionales:

Los permisos delegados no están disponibles y la herencia se deshabilita automáticamente
http://support.microsoft.com/kb/817433

Modificar el contenedor AdminSDHolder
http://technet.microsoft.com/en-us/library/cc772662(WS.10).aspx