Partage via

Permission on a administrators group for a service account to add/write members

Anonyme
2024-07-29T09:13:57+00:00

Hello Microsoft guys,

I'm testing a script, a PowerShell script that allows to add WriteMembers permissions on a group (Domains admins).

But 1 hour after the permission are removed or cleaned.

The script is the following :

Define the built-in group and user

$group = "Domain admins"  # Replace with the built-in group name

$user = "mydomain.local\gMSA-01$"

Get the Security Identifier (SID) for the user

$userSID = (New-Object System.Security.Principal.NTAccount($user)).Translate([System.Security.Principal.SecurityIdentifier])

Get the Distinguished Name (DN) of the group

$groupDN = (Get-ADGroup $group).DistinguishedName

Get the current ACL of the group

$group = [ADSI]"LDAP://$groupDN"

$acl = $group.psbase.ObjectSecurity

Create the access rule for the user

$rights = [System.DirectoryServices.ActiveDirectoryRights]::WriteProperty

$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::None

$propertyType = [guid]"bf9679c0-0de6-11d0-a285-00aa003049e2"  # GUID for "member" attribute

$accessRule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

    $userSID,

    $rights,

    $propertyType,

    $inheritanceType

)

Add the access rule to the ACL

$acl.AddAccessRule($accessRule)

$group.psbase.ObjectSecurity = $acl

$group.psbase.CommitChanges()

Have you any idea to set the permission permanently on this group ?

Thanks, have a good one.

Windows Server - Identité et accès - Active Directory

Question verrouillée. Cette question a été migrée à partir de la communauté de support Microsoft. Vous pouvez voter pour savoir si c’est utile, mais vous ne pouvez pas ajouter de commentaires ou de réponses ou suivre la question. Pour protéger la vie privée, les profils d’utilisateur(-trice) des questions migrées sont anonymisés.

0 commentaires

1 réponse

Trier par : Le plus utile
Le plus utile Plus récent Plus ancien
  1. Anonyme
    2024-07-29T12:08:41+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour lilidy10,

    Merci d’avoir posté sur le forum de la communauté Microsoft.

    Mais 1 heure après l’autorisation sont retirés ou nettoyés.
    R : Il semble que ce soit à dessein.

    Nous pouvons voir plus d’informations ci-dessous.

    Tous les descripteurs de sécurité pour les groupes répertoriés sur cet objet sont réestampillés sur les membres de l’objet utilisateur toutes les 60 minutes. Vous avez peut-être rencontré cela où vous aviez apporté des modifications personnalisées à l’ACL sur votre utilisateur administrateur qui était membre d’une unité d’organisation, puis découvert une heure plus tard que vos modifications avaient disparu. Tout cela par conception, tout est bien et bon.

    Les comptes et groupes de sécurité suivants sont protégés dans les services de domaine Active Directory :

    • Opérateurs de compte
    • Administrateur
    • Administrateurs
    • Opérateurs de secours
    • Administrateurs de domaine
    • Contrôleurs de domaine
    • Administrateurs d’entreprise
    • Krbtgt
    • Opérateurs d’impression
    • Contrôleurs de domaine en lecture seule
    • Réplicateur
    • Administrateurs de schéma
    • Opérateurs de serveurs

    Annexe C : comptes et groupes protégés dans Active Directory | Microsoft Learn

    Cinq questions fréquentes sur AdminSdHolder et SDProp - Microsoft Community Hub

    Supprimer les droits d’accès sur les comptes suspects avec l’autorisation Admin SDHolder - Microsoft Defender pour Identity | Microsoft Learn

    J’espère que les informations ci-dessus vous seront utiles.

    Si vous avez des questions ou des préoccupations, n’hésitez pas à nous le faire savoir.

    Sinceres salutations

    Daisy Zhou

    0 commentaires