Privilegierte Konten und den AdminSDHolder verstehen
Die unten stehenden Informationen helfen Ihnen, die adminSDHolder-Regel zu verstehen, die alle 60 Minuten die Sicherheitsberechtigungen für privilegierte Konten zurücksetzt.
Das Konzept der Delegation bei AD-Objekten ist allen AD-Administratoren bekannt. Die Notwendigkeit, benutzerdefinierte Delegationen auf Objekten zu erstellen, ist üblich; und obwohl AD-Delegationen ziemlich komplex sein können, hat die Menge an Erfahrung und Wissen, die geteilt wurde, den Prozess vereinfacht.
Hier ist das bekannte Problem: Stellen Sie sich vor, Sie delegieren Berechtigungen an eine OU, aber aus irgendeinem Grund übernehmen bestimmte Objekte die neue ACL (Access Control List) nicht. Sie führen die Delegation erneut durch und bestätigen, dass die ACL korrekt auf dem Objekt ist. Sie gehen Ihren Geschäften nach und stellen nach einer Weile fest, dass die benutzerdefinierte Delegation nicht funktioniert. Sie gehen zurück, um das Objekt zu überprüfen, und Ihre benutzerdefinierte Delegation ist verschwunden. Was ist mit meiner benutzerdefinierten Delegation passiert?
Active Directory und geschützte Gruppen
Seit Windows 2000 verfügt Active Directory über einen Mechanismus, um sicherzustellen, dass Mitglieder geschützter Gruppen standardisierte und kontrollierte Sicherheitsdeskriptoren haben. Der Prozess ist komplex und es gibt viele bewegliche Teile, die es wert sind, erkundet und definiert zu werden. Am Ende kann es sehr hilfreich sein, bestimmte geschützte Gruppen von diesem Prozess auszuschließen.
Es gibt viele Informationen auf TechNet und MSDN, die diese Konzepte erkunden, und eine einfache Google-Suche wird zusätzliche Informationen aufdecken.
Lassen Sie uns einige der Teile erkunden und einen Kontext bereitstellen.
AdminSDHolder
AdminSDHolder ist ein Container in AD, der den Sicherheitsdeskriptor enthält, der auf Mitglieder geschützter Gruppen angewendet wird. Die ACL kann direkt auf dem AdminSDHolder-Objekt eingesehen werden. Öffnen Sie Active Directory-Benutzer und -Computer und stellen Sie sicher, dass im Menü Ansicht die erweiterten Funktionen ausgewählt sind. Navigieren Sie zum 'system'-Container unter der Domäne und klicken Sie mit der rechten Maustaste auf den Untercontainer namens AdminSDHolder und wählen Sie Eigenschaften. Die Registerkarte Sicherheit zeigt die ACL an, die auf alle Mitglieder geschützter Gruppen angewendet wird.
SD Propagator
Der SD Propagator ist ein Prozess, der nach einem Zeitplan auf dem PDC-Emulator ausgeführt wird, um Mitglieder geschützter Gruppen zu finden und sicherzustellen, dass die entsprechende Access Control List (ACL) vorhanden ist. Der SD Propagator läuft standardmäßig jede Stunde, kann jedoch mit einer anderen Frequenz ausgeführt werden, indem der Wert AdminSDProtectFrequency zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters hinzugefügt wird. Dies kann zwischen einer Minute und zwei Stunden konfiguriert werden. Wenn der Wert in diesem Registrierungsschlüssel nicht vorhanden ist, wird der Standardwert von 60 Minuten angewendet.
dsHeuristics
Das dsHuerisitcs-Attribut ist ein Unicode-String-Wert auf dem Directory Service-Objekt im Konfigurationscontainer. Es definiert mehrere waldweite Konfigurationseinstellungen, von denen eine eingebaute Gruppen ist, die von der Liste der geschützten Gruppen ausgeschlossen werden sollen. Sie können den Wert des dsHuristics-Attributs in den LDP- oder ADSIEdit-Tools einsehen. Unten ist das Attribut, das von ADSIEdit angezeigt wird.
Wenn eine eingebaute Gruppe aus der unten stehenden Tabelle von dem Schutz des SD Propagators ausgeschlossen werden muss, muss dieser Wert aktualisiert werden. Dies muss sorgfältig erfolgen, da es sich um eine waldweite Einstellung handelt und der Wert Auswirkungen auf andere Teile der Konfiguration hat. Sie können dies googeln, um explizite Anweisungen zu finden, wie dieses Attribut aktualisiert werden kann. Unten sind die Gruppen, die von dem Prozess ausgeschlossen werden können, und die Werte, die sie tragen. Wenn mehrere Gruppen ausgeschlossen werden sollen, werden ihre Werte zusammenaddiert.
| Bit | Gruppe zum Ausschließen | Binärwert | Hex-Wert |
|---|---|---|---|
| 0 | Kontenoperatoren | 0001 | 1 |
| 1 | Serveroperatoren | 0010 | 2 |
| 2 | Druckoperatoren | 0100 | 4 |
| 3 | Backup-Operatoren | 1000 | 8 |
adminCount
Das adminCount-Attribut befindet sich auf Benutzerobjekten in Active Directory. Dies ist ein sehr einfaches Attribut. Wenn der Wert \
Was bedeutet das für Specops-Benutzer?
Nun, für die meisten nichts. Aber für einige Specops Password Reset (SPR)-Benutzer gibt es möglicherweise einige Aufgaben, die ausgeführt werden müssen. Der Grund dafür ist, dass für jeden Benutzer, der mit SPR verwaltet wird, die Registrierungsdaten als Erweiterungsattribute zu den einzelnen Benutzerobjekten in AD gespeichert werden müssen. Dies erfordert, dass das von SPR verwendete Dienstkonto Rechte über die Benutzerobjekte im Verwaltungsbereich von SPR hat. Die Fähigkeit des Dienstkontos, diese Aufgabe auszuführen, wird durch Berechtigungen verwaltet. Im Wesentlichen wird der SD Propagator jede Stunde ausgeführt, findet die Benutzer, die Mitglieder geschützter Gruppen sind oder waren (Benutzer mit adminCount auf 1 gesetzt), und wendet die ACL von AdminSDHolder auf diese Objekte an.
Es gibt also ein paar Dinge zu beachten: Sie können entweder wählen, Mitglieder geschützter Gruppen einfach nicht am Selbstverwaltungsprozess ihrer Passwörter teilnehmen zu lassen, oder Sie können einen der Prozesse durchführen, um Mitglieder geschützter Gruppen einzubeziehen. Am Ende muss das Benutzerobjekt eine ACL haben, die dem SPR-Dienstkonto erlaubt, seine Aufgaben auszuführen.
Weitere Informationen dazu, wie betroffene Konten identifiziert und behoben werden können, finden Sie unter: https://specopssoft.com/blog/troubleshooting-user-account-permissions-adminsdholder/
Empfohlene Lektüre
Stellen Sie sicher, dass Sie auf MSDN, Technet und anderen Webressourcen nach Anweisungen und Anleitungen suchen, wie diese Attribute manipuliert werden können. Hier sind ein paar Artikel, um Ihnen den Einstieg zu erleichtern:
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx
https://docs.microsoft.com/windows/desktop/ADSchema/a-dsheuristics?redirectedfrom=MSDN