Privilegierte Konten und den AdminSDHolder verstehen
Folgende Informationen sollen Ihnen helfen, die Regel adminSDHolder zu verstehen, die alle 60 Minuten die Sicherheitsberechtigungen für privilegierte Konten zurücksetzt.
Das Konzept der AD-Objekte-Delegation ist allen AD-Administratoren bekannt. Die Notwendigkeit, eine benutzerdefinierte Delegation für Objekte zu erstellen, ist weit verbreitet; und obwohl die AD-Delegation recht komplex sein kann, hat die Menge ausgetauschter Erfahrungen und Kenntnisse den Prozess vereinfacht.
Hier das bekannte Problem: Stellen Sie sich vor, Sie delegieren Berechtigungen an eine OE, aber aus irgendeinem Grund nehmen bestimmte Objekte die neue ACL (Access Control List) nicht an. Sie führen die Delegierung erneut durch und bestätigen, dass die ACL für das Objekt korrekt ist. Sie gehen Ihrer Arbeit nach und stellen nach einer Weile fest, dass die benutzerdefinierte Delegation nicht funktioniert. Sie gehen zurück, um das Objekt zu überprüfen, und finden, dass Ihre benutzerdefinierte Delegation verschwunden ist. Was ist mit meiner benutzerdefinierten Delegation passiert?
Active Directory und geschützte Gruppen
Seit Windows 2000 verfügt Active Directory über einen Mechanismus, der sicherstellt, dass Mitglieder geschützter Gruppen standardisierte und kontrollierte Sicherheitsdeskriptoren haben. Dieser Prozess ist komplex, und es gibt darin viele bewegliche Elemente, die erkundet und definiert werden sollten. Letztendlich kann es durchaus hilfreich sein, bestimmte geschützte Gruppen von diesem Prozess auszuschließen.
Auf TechNet und MSDN gibt es zahlreiche Informationen zu diesen Konzepten, und eine einfache Google-Suche führt zu weiteren Informationen.
Sehen wir uns einige der Elemente an und stellen wir Zusammenhänge her.
AdminSDHolder
AdminSDHolder ist ein Container in AD, der den Sicherheitsdeskriptor enthält, der auf Mitglieder geschützter Gruppen angewendet wird. Die ACL kann im AdminSDHolder-Objekt selbst eingesehen werden. Öffnen Sie Active Directory-Benutzer und -Computer und stellen Sie sicher, dass im Menü Ansicht die Option Erweiterte Funktionen ausgewählt ist. Navigieren Sie zum Container "System" unter der Domain, klicken Sie mit der rechten Maustaste auf den Untercontainer AdminSDHolder und wählen Sie Eigenschaften. Unter der Registerkarte Sicherheit wird die ACL angezeigt, die auf alle Mitglieder geschützter Gruppen angewendet wird.
SD-Propagator
Der SD-Propagator ist ein Prozess, der nach einem Zeitplan auf dem PDC-Emulator läuft, um Mitglieder geschützter Gruppen zu finden und sicherzustellen, dass die entsprechende Zugriffskontrollliste (ACL) vorhanden ist. Der SD-Propagator wird standardmäßig stündlich ausgeführt, kann aber auf ein anderes Intervall eingestellt werden, indem der Wert AdminSDProtectFrequency zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametershinzugefügt wird. Dieses Intervall kann auf zwischen einer Minute und zwei Stunden eingestellt werden. Wenn der Wert in diesem Registry-Unterschlüssel nicht vorhanden ist, wird der Standardwert von 60 Minuten verwendet.
dsHeuristics
Das Attribut dsHuerisitcs ist ein Unicode-String-Wert für das Verzeichnisdienstobjekt im Konfigurationscontainer. Es definiert mehrere "waldweite" Konfigurationseinstellungen. Eine dieser betrifft die eingebauten Gruppen, die aus der Liste der geschützten Gruppen ausgeschlossen werden sollten. Sie können den Wert des Attributs dsHuristics in den LDP- oder ADSIEdit-Tools anzeigen. Nachfolgend sehen Sie die Anzeige dieses Attributs in ADSIEdit.
Wenn eine integrierte Gruppe aus der nachstehenden Tabelle vom Schutz des SD-Propagators ausgenommen werden soll, muss dieser Wert aktualisiert werden. Dies muss sorgfältig geschehen, da es sich um eine waldweite Einstellung handelt und dieser Wert Auswirkungen auf andere Teile der Konfiguration hat. Sie können eine Suche durchführen (Google), um ausdrückliche Anweisungen zur Aktualisierung dieses Attributs zu finden. Im Folgenden sind die Gruppen aufgeführt, die von dem Prozess ausgeschlossen werden können, sowie deren Werte. Wenn mehrere Gruppen ausgeschlossen werden sollen, werden ihre Werte addiert.
| Bit | Auszuschließende Gruppe | Binärer Wert | Hex-Wert |
|---|---|---|---|
| 0 | Kontobetreiber | 0001 | 1 |
| 1 | Server-Betreiber | 0010 | 2 |
| 2 | Print Operators | 0100 | 4 |
| 3 | Back Operators | 1000 | 8 |
adminCount
Das Attribut adminCount findet sich in Benutzerobjekten in Active Directory. Dies ist ein sehr einfaches Attribut. Wenn sein Wert <nicht gesetzt> oder 0 ist, ist der Benutzer nicht durch die SD-Propagation geschützt. Wenn der Wert von adminCount auf 1 gesetzt ist, bedeutet dies, dass der Benutzer Mitglied einer geschützten Gruppe ist oder war. Der Wert kann in ADUC, ADSIEdit oder LDP eingesehen werden. Im Folgenden ist zu sehen, wie dieses Attribut von ADUC angezeigt wird.
Was bedeutet das für Specops-Benutzer?
Nun, für die meisten nichts. Für einige Benutzer von Specops Password Reset (SPR) müssen jedoch möglicherweise einige Aufgaben ausgeführt werden. Der Grund dafür ist, dass für jeden mit SPR verwalteten Benutzer die Anmeldedaten als Erweiterungsattribute zu den einzelnen Benutzerobjekten in AD gespeichert werden müssen. Dies setzt voraus, dass das von SPR verwendete Servicekonto über Rechte für die Benutzerobjekte im Verwaltungsbereich von SPR verfügt. Die Fähigkeit des Dienstkontos, diese Aufgabe auszuführen, wird durch Berechtigungen verwaltet. Üblicherweise wird der SD-Propagator jede Stunde ausgeführt, findet die Benutzer, die Mitglieder geschützter Gruppen sind oder waren (Benutzer mit adminCount auf 1 gesetzt), und wendet die ACL von AdminSDHolder auf diese Objekte an.
Dabei gibt es einige Dinge zu beachten: Sie können entweder festlegen, dass Mitglieder geschützter Gruppen einfach nicht an der Selbstverwaltung ihrer Kennwörter teilnehmen können, oder Sie können einen der Prozesse durchführen, um Mitgliedern geschützter Gruppen die Teilnahme zu ermöglichen. Entscheidend ist, dass das Benutzerobjekt über eine ACL verfügt, die es dem SPR-Dienstkonto erlaubt, seine Aufgaben zu erfüllen.
Weitere Informationen darüber, wie Sie betroffene Konten identifizieren und reparieren können, finden Sie unter: https://specopssoft.com/blog/troubleshooting-user-account-permissions-adminsdholder/
Empfohlene Lektüre
Durchsuchen Sie MSDN, Technet und andere Webressourcen nach Anweisungen und Anleitungen zur Bearbeitung dieser Attribute. Hier einige Artikel, die Ihnen den Einstieg erleichtern werden:
https://technet.microsoft.com/de-de-us/library/2009.09.sdadminholder.aspx
https://https://docs.microsoft.com/de-de/windows/win32/adschema/a-dsheuristics?redirectedfrom=MSDN