Comprendre les comptes privilégiés et le AdminSDHolder
Les informations ci-dessous vous aideront à comprendre la règle adminSDHolder, qui réinitialise les autorisations de sécurité sur les comptes privilégiés toutes les 60 minutes.
Le concept de délégation sur les objets AD est connu de tous les administrateurs AD. Le besoin de créer une délégation personnalisée sur les objets est courant ; et même si la délégation AD peut être assez complexe, la quantité d'expérience et de connaissances partagées a simplifié le processus.
Voici le problème connu: Imaginez que vous déléguez des autorisations à une OU mais que, pour une raison quelconque, certains objets ne prennent pas la nouvelle ACL (Liste de Contrôle d'Accès). Vous effectuez à nouveau la délégation et confirmez que l'ACL est correctement sur l'objet. Vous vaquez à vos occupations et après un certain temps, vous réalisez que la délégation personnalisée ne fonctionne pas. Vous retournez vérifier l'objet et votre délégation personnalisée a disparu. Qu'est-il arrivé à ma délégation personnalisée ?
Active Directory et Groupes Protégés
Depuis Windows 2000, Active Directory dispose d'un mécanisme pour garantir que les membres des groupes protégés ont des descripteurs de sécurité standardisés et contrôlés. Le processus est complexe et il y a de nombreux éléments en mouvement qui méritent d'être explorés et définis. En fin de compte, exclure certains groupes protégés de ce processus peut être très utile.
Il y a beaucoup d'informations sur TechNet et MSDN qui explorent ces concepts et une simple recherche Google révélera des informations supplémentaires.
Explorons certaines des parties et fournissons un peu de contexte.
AdminSDHolder
AdminSDHolder est un conteneur dans AD qui contient le Descripteur de Sécurité appliqué aux membres des groupes protégés. L'ACL peut être vue sur l'objet AdminSDHolder lui-même. Ouvrez Utilisateurs et Ordinateurs Active Directory et assurez-vous que les Fonctions Avancées sont sélectionnées dans le menu Affichage. Naviguez jusqu'au conteneur 'système' sous le domaine et faites un clic droit sur le sous-conteneur appelé AdminSDHolder et sélectionnez propriétés. L'onglet Sécurité affiche l'ACL qui sera appliquée à tous les membres des groupes protégés.
SD Propagator
Le SD Propagator est un processus qui s'exécute selon un calendrier sur l'émulateur PDC pour trouver les membres des groupes protégés et s'assurer que la Liste de Contrôle d'Accès (ACL) appropriée est présente. Le SD Propagator s'exécute toutes les heures par défaut mais peut s'exécuter à une fréquence différente en ajoutant la valeur AdminSDProtectFrequency à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Cela peut être configuré entre une minute et deux heures. Si la valeur n'est pas présente dans cette sous-clé de registre, la valeur par défaut de 60 minutes est appliquée.
dsHeuristics
L'attribut dsHeuristics est une valeur de chaîne Unicode sur l'objet Service d'Annuaire dans le conteneur de configuration. Il définit plusieurs paramètres de configuration à l'échelle de la forêt, dont l'un est les groupes intégrés à exclure de la liste des Groupes Protégés. Vous pouvez voir la valeur de l'attribut dsHeuristics dans les outils LDP ou ADSIEdit. Ci-dessous, l'attribut vu depuis ADSIEdit.
Si un groupe intégré, du tableau ci-dessous, doit être exclu de la protection du SD Propagator, cette valeur devra être mise à jour. Cela doit être fait avec soin car c'est un paramètre à l'échelle de la forêt et la valeur a des implications sur d'autres éléments de configuration. Vous pouvez rechercher sur Google pour trouver des instructions explicites sur la façon de mettre à jour cet attribut. Ci-dessous sont les groupes qui peuvent être exclus du processus et les valeurs qu'ils portent. Si plusieurs groupes doivent être exclus, leurs valeurs sont additionnées.
| Bit | Groupe à Exclure | Valeur Binaire | Valeur Hex |
|---|---|---|---|
| 0 | Opérateurs de Comptes | 0001 | 1 |
| 1 | Opérateurs de Serveurs | 0010 | 2 |
| 2 | Opérateurs d'Impression | 0100 | 4 |
| 3 | Opérateurs de Sauvegarde | 1000 | 8 |
adminCount
L'attribut adminCount se trouve sur les objets utilisateur dans Active Directory. C'est un attribut très simple. Si la valeur est \
Qu'est-ce que cela signifie pour les utilisateurs de Specops ?
Eh bien pour la plupart, rien. Mais pour certains utilisateurs de Specops Password Reset (SPR), il peut y avoir des tâches à exécuter. La raison étant que pour chaque utilisateur géré avec SPR, les données d'inscription doivent être stockées en tant qu'attributs d'extension sur les objets utilisateur individuels dans AD. Cela nécessite que le Compte de Service utilisé par SPR ait des droits sur les objets utilisateur dans le périmètre de gestion de SPR. La capacité du Compte de Service à effectuer cette tâche est gérée par des autorisations. Essentiellement, le SD Propagator s'exécutera toutes les heures, trouvera les utilisateurs qui sont ou étaient membres de Groupes Protégés (utilisateurs avec adminCount défini à 1), et appliquera l'ACL de AdminSDHolder sur ces objets.
Donc, il y a quelques éléments à garder à l'esprit, vous pouvez choisir de simplement ne pas laisser les membres des groupes protégés participer à la gestion en libre-service de leurs mots de passe ou vous pouvez effectuer l'un des processus pour permettre aux membres des groupes protégés d'être inclus. En fin de compte, l'objet utilisateur devra avoir une ACL qui permet au compte de service SPR d'effectuer ses tâches.
Pour plus d'informations sur la façon d'identifier et de corriger les comptes affectés, voir: https://specopssoft.com/blog/troubleshooting-user-account-permissions-adminsdholder/
Lectures Recommandées
Assurez-vous de rechercher sur MSDN, Technet et d'autres ressources web pour trouver des instructions et des conseils sur la façon de manipuler ces attributs. Voici quelques articles pour vous aider à démarrer:
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx
https://docs.microsoft.com/windows/desktop/ADSchema/a-dsheuristics?redirectedfrom=MSDN