Поделиться через

Приложение В. Защищенные учетные записи и группы в Active Directory

Приложение В. Защищенные учетные записи и группы в Active Directory

В Active Directory набор учетных записей и групп с высоким уровнем привилегий считается защищенными учетными записями и группами. С большинством объектов в Active Directory пользователи делегировали разрешения для управления объектами Active Directory, могут изменять разрешения для объектов, включая изменение разрешений, чтобы позволить себе изменять членство в специальных группах.

Защищенные учетные записи и группы — это специальные объекты, в которых устанавливаются разрешения и применяются с помощью автоматического процесса, гарантирующего согласованность разрешений для объектов. Эти разрешения остаются даже при перемещении объектов в разные расположения в Active Directory. Если разрешения защищенного объекта изменяются, существующие процессы гарантируют, что разрешения возвращаются быстро в их значения по умолчанию.

Защищенные группы

Следующие учетные записи безопасности и группы защищены в службах домен Active Directory:

  • Операторы учета
  • Администратор
  • Администраторы
  • Операторы архива
  • Администраторы домена
  • Контроллеры доменов
  • Администраторы предприятия
  • Администраторы ключей предприятия
  • Администраторы ключей
  • Krbtgt
  • Операторы печати
  • Контроллеры домена только для чтения
  • Репликатор
  • Администраторы схемы
  • Операторы сервера

AdminSDHolder

Цель объекта AdminSDHolder — предоставить разрешения "template" для защищенных учетных записей и групп в домене. AdminSDHolder автоматически создается как объект в системном контейнере каждого домена Active Directory. Его путь: CN=AdminSDHolder,CN=System,DC=<domain_component,DC>=<domain_component>?.

Хотя группа администраторов владеет большинством объектов в домене Active Directory, группа администраторов домена владеет объектом AdminSDHolder. По умолчанию администраторы предприятия могут вносить изменения в объект AdminSDHolder любого домена, так как могут группы администраторов домена и администраторов домена. Кроме того, хотя владелец adminSDHolder по умолчанию является группой администраторов домена, члены администраторов или администраторов предприятия могут взять на себя ответственность за объект.

SDProp

SDProp — это процесс, который выполняется каждые 60 минут (по умолчанию) на контроллере домена, который содержит эмулятор PDC домена (PDCE). SDProp сравнивает разрешения для объекта AdminSDHolder домена с разрешениями на защищенные учетные записи и группы в домене. Если разрешения для любой из защищенных учетных записей и групп не соответствуют разрешениям для объекта AdminSDHolder, SDProp сбрасывает разрешения на защищенные учетные записи и группы, чтобы соответствовать тем, которые настроены для объекта AdminSDHolder домена.

Наследование разрешений отключено для защищенных групп и учетных записей. Даже если учетные записи и группы перемещаются в разные расположения в каталоге, они не будут наследовать разрешения от новых родительских объектов. Наследование отключено для объекта AdminSDHolder, чтобы разрешения на родительские объекты не изменяли разрешения AdminSDHolder.

Изменение интервала SDProp

Как правило, не следует изменять интервал, с которым выполняется SDProp, за исключением целей тестирования. Если необходимо изменить интервал SDProp, в PDCE для домена используйте regedit, чтобы добавить или изменить значение DWORD AdminSDProtectFrequency в HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Диапазон значений составляет в секундах от 60 до 7200 (одна минута до двух часов). Чтобы удалить изменения, удалите ключ AdminSDProtectFrequency. Удаление ключа приводит к возврату SDProp на 60 минут. Обычно этот интервал не следует уменьшать в рабочих доменах, так как это может увеличить затраты на обработку LSASS на контроллере домена. Влияние этого увеличения зависит от количества защищенных объектов в домене.

Запуск SDProp вручную

Лучший подход к тестированию изменений AdminSDHolder заключается в том, чтобы запустить SDProp вручную, что приводит к немедленному выполнению задачи, но не влияет на запланированное выполнение. Вы можете принудительно запустить SDProp с помощью Ldp.exe или запуска скрипта изменения LDAP. Чтобы запустить SDProp вручную, выполните следующие действия.

  1. Запустите Ldp.exe.

  2. В диалоговом окне Ldp нажмите кнопку "Подключение" и нажмите кнопку "Подключить".

  3. В диалоговом окне "Подключение" введите имя контроллера домена для домена, который содержит роль эмулятора PDC (PDCE) и нажмите кнопку "ОК".

    Снимок экрана: диалоговое окно

  4. Чтобы проверить подключение, убедитесь, что Dn: (RootDSE) присутствует на следующем снимке экрана. Затем нажмите кнопку "Подключение" и нажмите кнопку "Привязка".

    Снимок экрана: пункт меню

  5. В диалоговом окне "Привязка" введите учетные данные учетной записи пользователя, которая имеет разрешение на изменение объекта rootDSE. (Если вы вошли в систему как этот пользователь, можно выбрать Привязка как вошедшего в систему пользователя.) Нажмите кнопку "ОК".

    Снимок экрана, на котором показано, где ввести учетные данные учетной записи пользователя с разрешением на изменение объекта rootDSE.

  6. После завершения операции привязки нажмите кнопку "Обзор" и нажмите кнопку "Изменить".

  7. В диалоговом окне "Изменение" оставьте поле DN пустым. В поле "Изменить атрибут записи" введите RunProtectAdminGroupsTask и в поле "Значения" введите 1. Нажмите клавишу ВВОД , чтобы заполнить список записей, как показано здесь.

    Снимок экрана: поле

  8. В заполненном диалоговом окне "Изменить" нажмите кнопку "Выполнить" и убедитесь, что изменения, внесенные в объект AdminSDHolder, появились на этом объекте.