Comprender las cuentas privilegiadas y el AdminSDHolder
La información a continuación te ayudará a entender la regla adminSDHolder, que restablece los permisos de seguridad en cuentas privilegiadas cada 60 minutos.
El concepto de delegación en objetos de AD es conocido por todos los administradores de AD. La necesidad de crear delegaciones personalizadas en objetos es común; y aunque la delegación de AD puede ser bastante compleja, la cantidad de experiencia y conocimiento que se ha compartido ha simplificado el proceso.
Aquí está el problema conocido: Imagina que delegas permisos a una OU pero por alguna razón ciertos objetos no toman la nueva ACL (Lista de Control de Acceso). Realizas la delegación nuevamente y confirmas que la ACL está en el objeto correctamente. Sigues con tus asuntos y después de un tiempo te das cuenta de que la delegación personalizada no está funcionando. Vuelves a verificar el objeto y tu delegación personalizada ha desaparecido. ¿Qué pasó con mi delegación personalizada?
Active Directory y Grupos Protegidos
Desde Windows 2000, Active Directory ha tenido un mecanismo para asegurar que los miembros de grupos protegidos tengan descriptores de seguridad estandarizados y controlados. El proceso es complejo y hay muchas partes móviles que vale la pena explorar y definir. Al final, excluir ciertos grupos protegidos de este proceso puede ser bastante útil.
Hay mucha información en TechNet y MSDN que explora estos conceptos y una simple búsqueda en Google revelará información adicional.
Exploremos algunas de las partes y proporcionemos algo de contexto.
AdminSDHolder
AdminSDHolder es un contenedor en AD que contiene el Descriptor de Seguridad aplicado a los miembros de grupos protegidos. La ACL puede verse en el objeto AdminSDHolder. Abre Usuarios y Equipos de Active Directory y asegúrate de que Funciones Avanzadas esté seleccionado en el menú Ver. Navega al contenedor 'system' bajo el dominio y haz clic derecho en el subcontenedor llamado AdminSDHolder y selecciona propiedades. La pestaña Seguridad muestra la ACL que se aplicará a todos los miembros de grupos protegidos.
SD Propagator
El SD Propagator es un proceso que se ejecuta en un horario en el emulador PDC para encontrar miembros de grupos protegidos y asegurar que la Lista de Control de Acceso (ACL) apropiada esté presente. El SD Propagator se ejecuta cada hora por defecto, pero puede ejecutarse a una frecuencia diferente agregando el valor AdminSDProtectFrequency a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Esto puede configurarse en cualquier lugar entre un minuto y dos horas. Si el valor no está presente en esta subclave del registro, se aplica el valor predeterminado de 60 minutos.
dsHeuristics
El atributo dsHeuristics es un valor de cadena Unicode en el objeto del Servicio de Directorio en el contenedor de configuración. Define múltiples configuraciones de bosque, una de las cuales son los grupos integrados que deben excluirse de la lista de Grupos Protegidos. Puedes ver el valor del atributo dsHeuristics en las herramientas LDP o ADSIEdit. A continuación se muestra el atributo visto desde ADSIEdit.
Si un grupo integrado, de la tabla a continuación, necesita ser excluido de la protección del SD Propagator, este valor deberá actualizarse. Debe hacerse con cuidado ya que es una configuración de bosque y el valor tiene implicaciones en otras piezas de configuración. Puedes buscar en Google para encontrar instrucciones explícitas sobre cómo actualizar este atributo. A continuación se muestran los grupos que pueden excluirse del proceso y los valores que llevan. Si se deben excluir múltiples grupos, sus valores se suman.
| Bit | Grupo a Excluir | Valor Binario | Valor Hex |
|---|---|---|---|
| 0 | Operadores de Cuenta | 0001 | 1 |
| 1 | Operadores de Servidor | 0010 | 2 |
| 2 | Operadores de Impresión | 0100 | 4 |
| 3 | Operadores de Respaldo | 1000 | 8 |
adminCount
El atributo adminCount se encuentra en los objetos de usuario en Active Directory. Este es un atributo muy simple. Si el valor es \
¿Qué significa esto para los usuarios de Specops?
Bueno, para la mayoría, nada. Pero para algunos usuarios de Specops Password Reset (SPR), puede haber algunas tareas que necesiten ejecutarse. La razón es que para cada usuario gestionado con SPR, los datos de inscripción deben almacenarse como atributos de extensión en los objetos de usuario individuales en AD. Esto requiere que la Cuenta de Servicio utilizada por SPR tenga derechos sobre los objetos de usuario en el ámbito de gestión de SPR. La capacidad de la Cuenta de Servicio para realizar esta tarea se gestiona mediante permisos. Esencialmente, SD Propagator se ejecutará cada hora, encontrará a los usuarios que son o fueron miembros de Grupos Protegidos (usuarios con adminCount establecido en 1) y aplicará la ACL de AdminSDHolder a esos objetos.
Así que hay algunas cosas a tener en cuenta, puedes elegir simplemente no permitir que los miembros de grupos protegidos participen en la gestión de autoservicio de sus contraseñas o puedes realizar uno de los procesos para permitir que los miembros de grupos protegidos sean incluidos. Al final, el objeto de usuario necesitará tener una ACL que permita a la cuenta de servicio SPR realizar sus tareas.
Para más información sobre cómo identificar y corregir cuentas afectadas, consulta: https://specopssoft.com/blog/troubleshooting-user-account-permissions-adminsdholder/
Lecturas Recomendadas
Asegúrate de buscar en MSDN, Technet y otros recursos web para encontrar instrucciones y orientación sobre cómo manipular estos atributos. Aquí hay algunos artículos para comenzar:
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx
https://docs.microsoft.com/windows/desktop/ADSchema/a-dsheuristics?redirectedfrom=MSDN