Como recriar os objetos do Container ForeignSecurityPrincipals no AD
Recentemente estava em um projeto envolvendo uma avaliação do Active Directory R2 e me deparei com objetos no container ForeignSecurityPrincipals, até então desconhecidos para mim.
Pesquisei um pouco sobre o container e descobri algumas coisas interessantes:
1) Este container somente é visualizado na ferramenta Active Directory Uses and Computers (DSA.MSC) quando habilitada a opção “Advanced Features” no menu View.
2) Este container é pré-populado com 4 objetos padrões durante a criação do domínio, conforme abaixo:
3) Quando existe uma relação de confiança, este container mantém uma cópia de todos os objetos de domínios externos (trusted domain) para permitir que estes sejam incluídos em grupos do domínio e usados também no SIDHistory
4) Este container pode e deve ser limpo após a remoção da relação de confiança. Por exemplo, em um ambiente de unificação de domínios, após estar tudo unificado em 1 domínio os objetos externos podem ser excluídos.
No meu caso os 4 objetos padrões deste container haviam sido removidos por engano e precisei recriá-los. Interessante que estes grupos são criados automaticamente quando alguns grupos especiais do Windows são incluídos em alguns grupos BuiltIn. Por exemplo: se você incluir o grupo especial INTERACTIVE no grupo BuiltIn Users, o objeto S-1-5-4, conforme abaixo é criado.
Da mesma forma para a tabela abaixo. O grupo especial da coluna da esquerda sendo incluído no grupo BuiltIn da coluna da direita.
| Membros do grupo | Nome do grupo |
| Authenticated Users | Pre-Windows 2000 Compatible Access |
| Authenticated Users | Users |
| IUSR | IIS_IUSRS |
| INTERACTIVE | Users |
| Enterprise Domain Controllers | Windows Authorization Access Group |
Ao invés de fazer manualmente fiz um script para facilitar a criação dos 4 objetos, basta ajustar o caminho LDAP na primeira linha do script (set LDAP….) conforme o nome do seu domínio.
set LDAP=DC=hunecke,DC=com
dsmod group "CN=Pre-Windows 2000 Compatible Access,CN=Builtin,%LDAP%" -addmbr "CN=Authenticated Users,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"
dsmod group "CN=Users,CN=Builtin,%LDAP%" -addmbr "CN=Authenticated Users,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"
dsmod group "CN=IIS_IUSRS,CN=Builtin,%LDAP%" -addmbr "CN=IUSR,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"
dsmod group "CN=Users,CN=Builtin,%LDAP%" -addmbr "CN=INTERACTIVE,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"
dsmod group "CN=Windows Authorization Access Group,CN=Builtin,%LDAP%" -addmbr "CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,CN=Configuration,%LDAP%"
Mais informações sobre grupos especiais do Windows veja no post: https://blogs.technet.com/b/mhunecke/archive/2010/09/29/rela-231-227-o-de-objetos-padr-245-es-do-windows-e-respectivo-sid.aspx