Sdílet prostřednictvím

Příloha C: Chráněné účty a skupiny ve službě Active Directory

Příloha C: Chráněné účty a skupiny ve službě Active Directory

Ve službě Active Directory se výchozí sada vysoce privilegovaných účtů a skupin považuje za chráněné účty a skupiny. U většiny objektů ve službě Active Directory můžou uživatelé delegovaná oprávnění ke správě objektů služby Active Directory měnit oprávnění k objektům, včetně změny oprávnění, která umožňují upravovat členství ve speciálních skupinách.

Chráněné účty a skupiny jsou speciální objekty, ve kterých se oprávnění nastavují a vynucují prostřednictvím automatického procesu, který zajišťuje, že oprávnění k objektům zůstanou konzistentní. Tato oprávnění zůstávají i v případě, že přesunete objekty do různých umístění ve službě Active Directory. Pokud jsou oprávnění chráněného objektu upravena, stávající procesy zajišťují, aby se oprávnění rychle vrátila do výchozích hodnot.

Chráněné skupiny

Ve službě Active Directory Domain Services jsou chráněny následující účty zabezpečení a skupiny:

  • Operátoři účtů
  • Správce
  • Správci
  • Operátory zálohování
  • Správci Domény
  • Řadiče domény
  • Podnikoví správci
  • Správci podnikových klíčů
  • Správci klíčů
  • Krbtgt
  • Operátory tisku
  • Řadiče domény jen pro čtení
  • Replikátor
  • Správci schématu
  • Operátory serveru

AdminSDHolder

Účelem objektu AdminSDHolder je poskytnout oprávnění "šablona" pro chráněné účty a skupiny v doméně. AdminSDHolder se automaticky vytvoří jako objekt v systémovém kontejneru každé domény v Active Directory. Jeho umístění je: CN=AdminSDHolder,CN=System,DC=<domain_component>,DC=<domain_component>?.

Zatímco skupina Administrators vlastní většinu objektů v doméně služby Active Directory, skupina Domain Admins vlastní objekt AdminSDHolder. Ve výchozím nastavení můžou podnikoví správci provádět změny v objektu AdminSDHolder jakékoli domény, stejně jako skupiny Domain Admins a Administrators domény. Kromě toho, i když výchozí vlastník AdminSDHolder je doménová skupina Domain Admins, členové Správců nebo Enterprise Admins mohou převzít vlastnictví objektu.

SDProp

SDProp je proces, který se spouští každých 60 minut (ve výchozím nastavení) na řadiči domény, který obsahuje emulátor primárního řadiče domény (PDCE). SDProp porovnává oprávnění k objektu AdminSDHolder domény s oprávněními k chráněným účtům a skupinám v doméně. Pokud oprávnění u některého z chráněných účtů a skupin neodpovídají oprávněním objektu AdminSDHolder, SDProp resetuje oprávnění k chráněným účtům a skupinám tak, aby odpovídala oprávněním nakonfigurovaným pro objekt AdminSDHolder domény.

Dědičnost oprávnění je u chráněných skupin a účtů zakázaná. I když se účty a skupiny přesunou do různých umístění v adresáři, nezdědí oprávnění ze svých nových nadřazených objektů. Dědičnost je u objektu AdminSDHolder zakázána, aby změny oprávnění nadřazených objektů neměnily oprávnění objektu AdminSDHolder.

Změna intervalu SDProp

Za normálních okolností byste neměli měnit interval, ve kterém běží SDProp, s výjimkou testovacích účelů. Pokud potřebujete změnit interval SDProp, použijte na PDC emulátoru dané domény příkaz regedit k přidání nebo úpravě hodnoty DWORD AdminSDProtectFrequency v HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Rozsah hodnot je v sekundách od 60 do 7200 (jedna minuta až dvě hodiny). Pokud chcete odebrat změny, odstraňte klíč AdminSDProtectFrequency. Odstraněním klíče se služba SDProp vrátí zpět do 60minutového intervalu. Obecně byste tento interval neměli snižovat v produkčních doménách, protože může zvýšit režii na zpracování LSASS na řadiči domény. Dopad tohoto zvýšení závisí na počtu chráněných objektů v doméně.

Ruční spuštění SDProp

Lepším přístupem k testování změn AdminSDHolder je ruční spuštění SDProp, což způsobí okamžité spuštění úlohy, ale nemá vliv na plánované spuštění. SDProp můžete vynutit spuštění pomocí Ldp.exe nebo spuštěním skriptu pro úpravy PROTOKOLU LDAP. Pokud chcete SDProp spustit ručně, proveďte následující kroky:

  1. Spusťte Ldp.exe.

  2. V dialogovém okně Ldp klepněte na Připojení, a klepněte na Připojit.

  3. V dialogovém okně Connect zadejte název řadiče domény pro doménu, která obsahuje roli emulátoru primárního řadiče domény (PDCE), a klikněte na OK.

    Snímek obrazovky s dialogovým oknem Připojit

  4. Pokud chcete ověřit připojení, zkontrolujte, zda je přítomen Dn: (RootDSE) podobně jako na následujícím snímku obrazovky. Dále klepněte na připojení a klepněte na tlačítko připojit.

    Snímek obrazovky s volbou Spojení v nabídce Připojení

  5. V dialogovém okně Bind zadejte přihlašovací údaje uživatelského účtu, který má oprávnění k úpravě objektu rootDSE. (Pokud jste přihlášeni jako tento uživatel, můžete vybrat Bind jako aktuálně přihlášený uživatel.) Klepněte na tlačítko OK.

    snímek obrazovky, který ukazuje, kde zadat přihlašovací údaje uživatelského účtu, který má oprávnění k úpravě objektu rootDSE.

  6. Po dokončení operace vazby klepněte na tlačítko Procházeta klepněte na tlačítko Upravit.

  7. V dialogovém okně Upravit nechejte pole DN prázdné. Do pole Upravit atribut položky zadejte RunProtectAdminGroupsTask a do pole Hodnoty zadejte 1. Kliknutím na Enter naplníte seznam položek, jak je znázorněno zde.

    snímek obrazovky s polem Upravit atribut položky

  8. V vyplněném dialogovém okně Upravit klikněte na Spustita ověřte, že se na objektu AdminSDHolder zobrazily změny provedené v objektu AdminSDHolder.