Partilhar via

Apêndice C: Contas e grupos protegidos no Ative Directory

Apêndice C: Contas e grupos protegidos no Ative Directory

No Ative Directory, um conjunto padrão de contas e grupos altamente privilegiados são considerados contas e grupos protegidos. Com a maioria dos objetos no Ative Directory, os usuários que delegaram permissões para gerenciar objetos do Ative Directory podem alterar as permissões nos objetos, incluindo alterar as permissões para permitir que eles mesmos modifiquem a associação a grupos especiais.

Contas e grupos protegidos são objetos especiais onde as permissões são definidas e aplicadas por meio de um processo automático que garante que as permissões nos objetos permaneçam consistentes. Essas permissões permanecem mesmo se você mover os objetos para locais diferentes no Ative Directory. Se as permissões de um objeto protegido forem modificadas, os processos existentes garantirão que as permissões sejam retornadas aos seus padrões rapidamente.

Grupos Protegidos

As seguintes contas e grupos de segurança são protegidos nos Serviços de Domínio Ative Directory:

  • Operadores de Conta
  • Administrador
  • Administradores
  • Operadores de backup
  • Administradores de Domínio
  • Controladores de domínio
  • Administradores Empresariais
  • Administradores de chaves corporativas
  • Administradores-chave
  • Krbtgt
  • Operadores de impressão
  • Controladores de domínio somente leitura
  • Replicador
  • Administradores de esquema
  • Operadores de servidor

AdminSDHolder

O objetivo do objeto AdminSDHolder é fornecer permissões de "modelo" para as contas e grupos protegidos no domínio. AdminSDHolder é criado automaticamente como um objeto no contêiner Sistema de cada domínio do Ative Directory. Seu caminho é: CN=AdminSDHolder,CN=System,DC=<domain_component>,DC=<domain_component>?.

Enquanto o grupo Administradores possui a maioria dos objetos em um domínio do Ative Directory, o grupo Administradores do Domínio é proprietário do objeto AdminSDHolder. Por padrão, os Administradores de Empresa podem fazer alterações no objeto AdminSDHolder de qualquer domínio, assim como os grupos Administradores de Domínio e Administradores do domínio. Além disso, embora o proprietário padrão de AdminSDHolder seja o grupo Administradores de Domínio do domínio, membros de Administradores ou Administradores Corporativos podem assumir a propriedade do objeto.

SDProp

SDProp é um processo que é executado a cada 60 minutos (por padrão) no controlador de domínio que contém o emulador PDC (PDCE) do domínio. SDProp compara as permissões no objeto AdminSDHolder do domínio com as permissões nas contas e grupos protegidos no domínio. Se as permissões em qualquer uma das contas e grupos protegidos não corresponderem às permissões no objeto AdminSDHolder, o SDProp redefinirá as permissões nas contas e grupos protegidos para corresponder às configuradas para o objeto AdminSDHolder do domínio.

A herança de permissões está desativada em grupos e contas protegidos. Mesmo que as contas e grupos sejam movidos para locais diferentes no diretório, eles não herdarão permissões de seus novos objetos pai. A herança está desabilitada no objeto AdminSDHolder para que as alterações de permissão nos objetos pai não alterem as permissões de AdminSDHolder.

Alterando o intervalo SDProp

Normalmente, você não deve precisar alterar o intervalo no qual o SDProp é executado, exceto para fins de teste. Se você precisar alterar o intervalo SDProp, no PDCE do domínio, use regedit para adicionar ou modificar o valor DWORD AdminSDProtectFrequency em HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

O intervalo de valores é em segundos de 60 a 7200 (um minuto a duas horas). Para remover alterações, exclua a chave AdminSDProtectFrequency. A exclusão da chave faz com que o SDProp reverta para o intervalo de 60 minutos. Geralmente, você não deve reduzir esse intervalo em domínios de produção, pois pode aumentar a sobrecarga de processamento LSASS no controlador de domínio. O impacto desse aumento depende do número de objetos protegidos no domínio.

Executando o SDProp manualmente

Uma abordagem melhor para testar as alterações AdminSDHolder é executar o SDProp manualmente, o que faz com que a tarefa seja executada imediatamente, mas não afeta a execução agendada. Você pode forçar o SDProp a ser executado usando Ldp.exe ou executando um script de modificação LDAP. Para executar o SDProp manualmente, execute as seguintes etapas:

  1. Inicie Ldp.exe.

  2. Na caixa de diálogo Ldp, clique em Connectione clique em Connect.

  3. Na caixa de diálogo Conectar, escreva o nome do controlador de domínio do domínio que detém a função de Emulador de PDC (PDCE) e clique em OK.

    Captura de ecrã que mostra a caixa de diálogo Conectar.

  4. Para verificar a conexão, verifique se Dn: (RootDSE) está presente, como mostrado na captura de tela a seguir. Em seguida, clique em Conexão e clique em Vincular.

    Captura de tela que mostra a opção do menu Vincular no menu Conexão.

  5. Na caixa de diálogo Bind, digite as credenciais de uma conta de usuário que tenha permissão para modificar o objeto rootDSE. (Se você estiver conectado como esse usuário, poderá selecionar Vincular como usuário conectado no momento.) Clique OK.

    Captura de tela que mostra onde digitar as credenciais de uma conta de usuário que tem permissão para modificar o objeto rootDSE.

  6. Quando a operação de vinculação for concluída, clique em Procurare clique em Modificar.

  7. Na caixa de diálogo Modificar, deixe o campo DN em branco. No campo Editar Atributo de Entrada, digite RunProtectAdminGroupsTaske, no campo Valores, digite 1. Clique Enter para preencher a lista de entrada, conforme mostrado aqui.

    Captura de tela que mostra o campo Editar atributo de entrada.

  8. Na caixa de diálogo preenchida Modificar, clique em Executare verifique se as alterações feitas no objeto AdminSDHolder apareceram nesse objeto.