Freigeben über


Como recriar os objetos do Container ForeignSecurityPrincipals no AD

imageRecentemente estava em um projeto envolvendo uma avaliação do Active Directory R2 e me deparei com objetos no container ForeignSecurityPrincipals, até então desconhecidos para mim.

Pesquisei um pouco sobre o container e descobri algumas coisas interessantes:

1) Este container somente é visualizado na ferramenta Active Directory Uses and Computers (DSA.MSC) quando habilitada a opção “Advanced Features” no menu View.

2) Este container é pré-populado com 4 objetos padrões durante a criação do domínio, conforme abaixo:

image

3) Quando existe uma relação de confiança, este container mantém uma cópia de todos os objetos de domínios externos (trusted domain) para permitir que estes sejam incluídos em grupos do domínio e usados também no SIDHistory

4) Este container pode e deve ser limpo após a remoção da relação de confiança. Por exemplo, em um ambiente de unificação de domínios, após estar tudo unificado em 1 domínio os objetos externos podem ser excluídos.

No meu caso os 4 objetos padrões deste container haviam sido removidos por engano e precisei recriá-los. Interessante que estes grupos são criados automaticamente quando alguns grupos especiais do Windows são incluídos em alguns grupos BuiltIn. Por exemplo: se você incluir o grupo especial INTERACTIVE no grupo BuiltIn Users, o objeto S-1-5-4, conforme abaixo é criado.

image

Da mesma forma para a tabela abaixo. O grupo especial da coluna da esquerda sendo incluído no grupo BuiltIn da coluna da direita.

Membros do grupo Nome do grupo
Authenticated Users Pre-Windows 2000 Compatible Access
Authenticated Users Users
IUSR IIS_IUSRS
INTERACTIVE Users
Enterprise Domain Controllers Windows Authorization Access Group

Ao invés de fazer manualmente fiz um script para facilitar a criação dos 4 objetos, basta ajustar o caminho LDAP na primeira linha do script (set LDAP….) conforme o nome do seu domínio.

 

set LDAP=DC=hunecke,DC=com

dsmod group "CN=Pre-Windows 2000 Compatible Access,CN=Builtin,%LDAP%" -addmbr "CN=Authenticated Users,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"

dsmod group "CN=Users,CN=Builtin,%LDAP%" -addmbr "CN=Authenticated Users,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"

dsmod group "CN=IIS_IUSRS,CN=Builtin,%LDAP%" -addmbr "CN=IUSR,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"

dsmod group "CN=Users,CN=Builtin,%LDAP%" -addmbr "CN=INTERACTIVE,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"

dsmod group "CN=Windows Authorization Access Group,CN=Builtin,%LDAP%" -addmbr "CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"

 

Mais informações sobre grupos especiais do Windows veja no post: https://blogs.technet.com/b/mhunecke/archive/2010/09/29/rela-231-227-o-de-objetos-padr-245-es-do-windows-e-respectivo-sid.aspx