Comprendre les comptes privilégiés et AdminSDHolder
Les informations ci-dessous vous aideront à comprendre la règle adminSDHolder, qui réinitialise les autorisations de sécurité sur les comptes privilégiés toutes les 60 minutes.
Le concept de délégation sur les objets AD est connu de tous les administrateurs AD. Le besoin de créer une délégation personnalisée sur des objets est courant, même si la délégation AD peut être assez complexe, la quantité d’expériences et de connaissances partagées a simplifié le processus.
Voici le problème connu : Supposez que vous déléguez des autorisations à une unité d’organisation, mais que pour une raison quelconque certains objets ne prennent pas la nouvelle liste de contrôle d’accès (ACL). Vous effectuez à nouveau la délégation et confirmez que l’ACL se trouve correctement sur l’objet. Vous vaquez à vos occupations et au bout d’un moment vous vous rendez compte que la délégation personnalisée ne fonctionne pas. Vous retournez vérifier l’objet et votre délégation personnalisée a disparu. Qu’est-il arrivé à ma délégation personnalisée ?
Active Directory et groupes protégés
Depuis Windows 2000, Active Directory dispose d’un mécanisme permettant d’assurer que les membres des groupes protégés disposent de descripteurs de sécurité normalisés et contrôlés. Le processus est complexe, avec de nombreuses parties mobiles qui méritent d’être explorées et définies. En fin de compte, exclure certains groupes protégés de ce processus peut être très utile.
Il existe de nombreuses informations sur TechNet et MSDN qui explorent ces concepts et une simple recherche sur Google permettra de découvrir des informations complémentaires.
Explorons quelques-unes des parties afin de fournir un contexte.
AdminSDHolder
AdminSDHolder est un conteneur dans AD qui contient le descripteur de sécurité appliqué aux membres des groupes protégés. L’ACL peut être visualisée sur l’objet AdminSDHolder lui-même. Ouvrez Utilisateurs et ordinateurs Active Directory et assurez-vous que Fonctionnalités avancées est sélectionné dans le menu Affichage. Accédez au conteneur "système" sous le domaine, effectuez un clic droit sur le sous-conteneur appelé AdminSDHolder, et sélectionnez les propriétés. L’onglet Sécurité affiche l’ACL qui sera appliquée à tous les membres des groupes protégés.
Propagateur SD
Le propagateur SD est un processus qui s’exécute selon un calendrier sur l’émulateur PDC pour rechercher les membres des groupes protégés et vérifier que la liste de contrôle d’accès (ACL) appropriée est présente. Le propagateur SD s’exécute toutes les heures par défaut, mais peut s’exécuter à une fréquence différente en ajoutant la valeur AdminSDProtectFrequency àHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Ceci peut être configuré entre 1 minute et 2 heures. Si la valeur n’est pas présente dans cette sous-clé de registre, la valeur par défaut de 60 minutes est appliquée.
dsHeuristics
L’attribut dsHuerisitcs est une valeur de chaîne Unicode sur l’objet Service d’annuaire dans le conteneur de configuration. Celui-ci définit plusieurs paramètres de configuration à l’échelle de la forêt, notamment pour les groupes intégrés à exclure de la liste des groupes protégés. Vous pouvez afficher la valeur de l’attribut dsHeuristics dans les outils LDP ou ADSIEdit. Vous trouverez ci-dessous l’attribut affiché depuis ADSIEdit.
Si un groupe intégré, figurant dans le tableau ci-dessous, doit être exclu de la protection du propagateur SD, cette valeur devra être mise à jour. Ceci doit être effectué avec soin, car il s’agit d’un paramètre à l’échelle de la forêt et la valeur a des implications sur d’autres éléments de configuration. Vous pouvez effectuer une recherche sur Google à ce sujet, afin de trouver des instructions explicites sur la façon de mettre à jour cet attribut. Vous trouverez ci-dessous les groupes pouvant être exclus du processus et leurs valeurs. Si plusieurs groupes doivent être exclus, leurs valeurs seront additionnées.
| Bit | Groupe à exclure | Valeur binaire | Valeur hexadécimale |
|---|---|---|---|
| 0 | Opérateurs de compte | 0001 | 1 |
| 1 | Opérateurs de serveur | 0010 | 2 |
| 2 | Opérateurs d’impression | 0100 | 4 |
| 3 | Opérateurs principaux | 1000 | 8 |
adminCount
L’attribut adminCount se trouve sur les objets utilisateur dans Active Directory. Il s’agit d’un attribut très simple. Si la valeur est <not set> (non définie) ou 0, l’utilisateur n’est pas protégé par la propagation SD. Si la valeur de adminCount est définie sur 1, cela signifie que l’utilisateur est ou a été membre d’un groupe protégé. La valeur peut être affichée dans ADUC, ADSIEdit ou LDP. Vous trouverez ci-dessous l’attribut affiché via ADUC.
Qu’est-ce que cela signifie pour les utilisateurs de Specops ?
Pour la plupart, rien. Toutefois, pour certains utilisateurs de Specops Password Reset (SPR), il se peut que certaines tâches doivent être exécutées. La raison étant que pour chaque utilisateur géré avec SPR, les données d’inscription doivent être stockées en tant qu’attributs d’extension pour les objets utilisateur individuels dans AD. Ceci nécessite que le compte de service utilisé par SPR ait des droits sur les objets utilisateur dans le cadre de la gestion de SPR. La capacité du compte de service à effectuer cette tâche est gérée par des autorisations. Essentiellement, Propagateur SD s’exécutera toutes les heures, trouvera les utilisateurs qui sont ou étaient membres de groupes protégés (utilisateurs avec adminCount défini sur 1) et appliquera la liste de contrôle d’accès de AdminSDHolder à ces objets.
Il y a donc quelques points à garder à l’esprit : vous pouvez soit choisir de simplement ne pas autoriser les membres des groupes protégés à participer à la gestion en libre-service de leurs mots de passe, soit vous pouvez effectuer l’un des processus pour permettre aux membres des groupes protégés d’être inclus. Au final, l’objet utilisateur devra disposer d’une liste de contrôle d’accès permettant au compte de service SPR d’effectuer ses tâches.
Pour plus d’informations sur la façon d’identifier et de corriger les comptes concernés, veuillez consulter : https://specopssoft.com/blog/troubleshooting-user-account-permissions-adminsdholder/
Lectures recommandées
Assurez-vous d’effectuer des recherches sur MSDN, Technet et d’autres ressources sur Internet, afin de trouver des instructions et des conseils sur la façon de manipuler ces attributs. Voici quelques articles pour vous aider à vous lancer :
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx
https://docs.microsoft.com/windows/desktop/ADSchema/a-dsheuristics?redirectedfrom=MSDN