Active Directory

AdminSDHolder, grupos protegidos y SDPROP

John Policelli

Resumen:

• Información general de AdminSDHolder, grupos protegidos y SDPROP
• Controlar los grupos que están protegidos por AdminSDHolder
• Propagador de descriptores de seguridad

Contents

El objeto AdminSDHolder
ACL predeterminada
Grupos protegidos
Controlar los grupos que están protegidos por AdminSDHolder
Determinar si un principal de seguridad está protegido por AdminSDHolder
Objetos huérfanos de AdminSDHolder
Propagador del descriptor de seguridad
Modificar cómo suelen ejecuta SDPROP
Forzar SDPROP ejecutar
Conclusión

Servicios de dominio de directorio activo utiliza AdminSDHolder grupos protegidos y propagador de descriptores de seguridad (SD propagador o SDPROP para abreviar) a los usuarios con privilegios seguros y grupos contra modificaciones involuntarias.Esta funcionalidad se introdujo en la versión inaugural de Active Directory en Windows 2000 Server y es bastante bien conocido.Sin embargo, prácticamente todos los administradores de TI han ha influido negativamente por esta funcionalidad, y que se va a continuar a menos que entiendan por completo funcionamiento AdminSDHolder, grupos protegidos y SDPROP.

Cada dominio de Active Directory tiene un objeto llamado AdminSDHolder, que reside en el contenedor del sistema del dominio.El objeto AdminSDHolder tiene un único control de acceso lista (ACL), que se utiliza para controlar los permisos de principales de seguridad que son miembros de integrados grupos Active Directory con privilegios (lo que me gusta para llamar a "protected"grupos).Cada hora, un proceso de fondo denominado SDPROP se ejecuta en el controlador de dominio que desempeña la función de maestra de operaciones emulador de PDC.Compara la ACL en todos los principales de seguridad (usuarios, grupos y cuentas de equipo) que pertenecen a grupos protegidos contra la ACL en el objeto AdminSDHolder.Si las listas ACL no son iguales, la ACL de la entidad principal de seguridad se sobrescribe con la ACL del objeto Admin–SDHolder.Además, la herencia está deshabilitada en la entidad principal de seguridad.

Como puede ver varios niveles de seguridad se incorporan en esta funcionalidad.En primer lugar, los permisos que se aplica a los usuarios que pertenecen a grupos protegidos son más estrictas que los permisos de predeterminado aplicados a otras cuentas de usuario.A continuación, esta funcionalidad deshabilita la herencia en estas cuentas con privilegios, garantizar que los objetos protegidos, independientemente de dónde residan no heredan permisos que se aplica en el nivel primario.Por último, el proceso SDPROP ejecuta cada 60 minutos identifica las modificaciones manuales a una ACL y invierte ellos de modo que la lista de control de acceso coincide con la ACL en el objeto AdminSDHolder.

Consulte la barra lateral "Un ejemplo común de impacto de AdminSDHolder, grupos de Protected y SDPROP"Para ver el mundo real en esta funcionalidad.

El objeto AdminSDHolder

Como se mencionó, cada dominio de Active Directory contiene un objeto AdminSDHolder reside en la partición de sistema del dominio.El nombre completo del objeto AdminSDHolder es "CN = AdminSDHolder, CN = System, DC = dominio, DC = com"donde DC = dominio, DC = com es el nombre completo del dominio.Figure 1 shows the AdminSDHolder object in a Windows Server 2008 R2 domain.

Figura 1 Objeto AdminSDHolder (haga clic en la imagen para ampliarla)

ACL predeterminada

Dado que el objeto AdminSDHolder se utiliza en el proceso para proteger cuentas con privilegios, la ACL predeterminada en el objeto AdminSDHolder es más estricta que la ACL de otros objetos, tales como el dominio, unidades organizativas y contenedores.

En la ACL para AdminSDHolder predeterminada, el propietario predeterminado es el grupo Administradores de dominio, que es bastante raro.La mayoría de los objetos de Active Directory tienen el grupo de administradores como el propietario predeterminado.Esto es importante porque un propietario puede tomar el control de un objeto y restablecer los permisos.

Otro factor de diseño importante para el objeto AdminSDHolder es que herencia está deshabilitada, lo que garantiza que no parent-level permisos son heredados.

Por último, los grupos Administradores, administradores de dominio y administradores son los grupos que tengan el permiso de escritura a los atributos en AdminSDHolder, que es más estricta que los permisos predeterminado aplicarse a otros objetos Active Directory.

Grupos protegidos

Como se indicó anteriormente, aplican permisos AdminSDHolder a principales de seguridad que pertenecen a grupos protegidos.Desde la versión inaugural de Active Directory en Windows 2000 Server ha ampliado la lista de grupos protegidos.Figure 2 shows the default protected groups and users from Windows 2000 Server to Windows Server 2008 R2.

Un ejemplo común de impacto de AdminSDHolder, protegido SDPROP y grupos

Active Directory la mayoría de los administradores se convierten en conocer AdminSDHolder, protegido SDPROP y grupos mediante un escenario como éste:

Delegar permisos en un Organizational Unit (OU).Más adelante está informado de que los permisos están vigentes para la mayoría, pero no todas, las cuentas de usuario de la unidad organizativa.Determinar que la ACL en las cuentas afectadas es diferente de qué delegado y que no está habilitada la herencia, para habilitar la herencia resolver el problema.Inicialmente, esto parece funcionar, pero posteriormente resurfaces el problema.Nuevo determinar que la ACL es diferente y se ha deshabilitado la herencia.

He visto personas recorrer este ciclo infinito seeming y otra vez.

Esta situación realmente ocurre por diseño, sin embargo.La causa AdminSDHolder SDPROP y de grupos protegidos.

Las cuentas afectadas por este problema pertenecen a un grupo protegido.Como resultado, la ACL en estas cuentas se hereda del objeto AdminSDHolder en el dominio, y está deshabilitada la herencia.Por eso los permisos que ha delegado no se aplican a las cuentas de usuario afectado.Al habilitar manualmente la herencia en estas cuentas, los permisos delegados se agregan a la ACL.

Sin embargo, cuando el proceso de SDPROP se ejecuta en el controlador de dominio que desempeña la función de maestra de operaciones emulador de PDC, de forma predeterminada, cada 60 minutos, se sobrescribe la ACL para que coincida con la ACL en el objeto AdminSDHolder y herencia está deshabilitada.

La lista de grupos protegidos consistía en cuatro grupos de seguridad en Windows 2000 Server RTM.En Windows 2000 Server SP4 y Windows Server 2003, se han agregado varios otros grupos, incluyendo las cuentas Administrador y KRBTGT.En Windows Server 2003 con SP1 y versiones posteriores, Microsoft quitado el grupo Publicadores de certificados de los grupos predeterminados protegido.En Windows Server 2008, Microsoft ampliado esta lista para incluir el grupo controladores de dominio de sólo lectura.La lista de grupos protegidos no ha cambiado en la versión Release Candidate de Windows Server 2008 R2.

Controlar los grupos que están protegidos por AdminSDHolder

En mi experiencia, un subconjunto de estos predeterminados protegido grupos provoca problemas con AdminSDHolder.Por ejemplo, muchas organizaciones utilizan el grupo Operadores de impresión para la administración de servicios de impresión pero no para administración de Active Directory.Sin embargo, el grupo Operadores de impresión es un grupo protegido porque tiene elevados permisos en los controladores de dominio de forma predeterminada.Una práctica recomendada es quitar los permisos elevados que tiene este grupo en controladores de dominio.Si sigues que esta práctica recomendada (y debe!), probablemente no necesitará proteger este grupo con AdminSDHolder.

Puede excluir un subconjunto del predeterminado proteger grupos de proceso de AdminSDHolder, incluyendo:

• Operadores de cuentas
• Operadores de servidores
• Operadores de impresión
• Operadores de copia de seguridad

Esta capacidad a grupos de control que están protegidos por AdminSDHolder se introdujo a través de revisión para las versiones RTM de Windows 2000 Server y Windows Server 2003 y se incluye en el service pack más reciente para Windows Server 2003 y en las versiones RTM de Windows Server 2008 y Windows Server 2008 R2.Para obtener más información sobre la revisión, vaya a delegado permisos no están disponibles y herencia está automáticamente deshabilitada.

La capacidad de control de grupos protegidos por AdminSDHolder se habilita modificando el indicador dsHeuristic.Ésta es una cadena Unicode en el que cada carácter contiene un valor para una única configuración de todo el dominio.Posición de carácter 16 se interpreta como un valor hexadecimal, donde el carácter más a la izquierda es posición 1.Por lo tanto, los valores sólo válidos son "0"a través de "f".Cada grupo de operadores tiene un bit específico, como se muestra en figura 3.

Esta situación se convierte en incluso más complicada cuando estás intentando excluir más de un grupo de AdminSDHolder, especialmente porque se pueden tener varias combinaciones de exclusiones, por ejemplo, operadores de cuentas y operadores de servidores o operadores de cuentas y operadores de copia de seguridad.Para tratar este problema, agregue simplemente el valor binario de cada grupo y, a continuación, convertir el resultado en un valor hexadecimal.Por ejemplo, para excluir los operadores de impresión y operadores de copia tienen el valor binario de los operadores de impresión (0100) de grupo y agregarlo al valor binario de los operadores de copia de seguridad, grupos de agrupar (1000), que es igual a 1100.A continuación, convertir la suma binaria (1100) en el valor hexadecimal (C).

Para facilitar esta tarea un poco, la figura 4 muestra todas las combinaciones posibles en formato binario y hexadecimal.

Después de decidir qué grupos desea excluir, podrá modificar el atributo dsHeuristics.Para obtener información detallada sobre ese proceso, consulte la barra lateral "Cómo utilizar el atributo de dsHeuristics para excluir grupos de AdminSDHolder."

Determinar si un principal de seguridad está protegido por AdminSDHolder

Un número bastante grande de usuarios predeterminados y grupos está protegido por AdminSDHolder.Una cosa que deben tenerse en cuenta es que los usuarios están protegidos por AdminSDHolder si tienen la pertenencia a directa o transitiva en un grupo de seguridad o distribución.Grupos de distribución se incluyen porque se puede convertir un grupo de distribución en un grupo de seguridad.

Supongamos que un usuario pertenece a una lista de distribución denominada IT de Canadá.La DL de TI de Canadá es un miembro del grupo de seguridad de TI de Norteamérica;el grupo de seguridad de TI de Norteamérica es un miembro del grupo Administradores.Debido a que el usuario es transitivo pertenencia incluye el grupo de administradores (en virtud de anidamiento de grupos), la cuenta del usuario está protegida por AdminSDHolder.

Hay una manera fácil para determinar qué usuarios y grupos AdminSDHolder protege en el dominio.Puede consultar el atributo adminCount para determinar si un objeto está protegido por el objeto AdminSDHolder.Los siguientes ejemplos de utilizan la herramienta ADFind.exe, que puede descargarse desde joeware.NET.

• Para buscar todos los objetos en un dominio que están protegidos por AdminSDHolder, escriba:

Adfind.exe -b DC=domain,DC=com -f "adminCount=1" DN

• Para buscar todos los objetos de usuario en un dominio que están protegidos por AdminSDHolder, escriba:

Adfind.exe -b DC=domain,DC=com -f "(&(objectcategory=person)(objectclass=user)(admincount=1))" DN

• Para buscar todos los grupos en un dominio que están protegidos por AdminSDHolder, escriba:

Adfind.exe -b DC=domain,DC=com -f "(&(objectclass=group)(admincount=1))" DN

Nota: En los ejemplos anteriores, reemplace DC = dominio, DC = com con el nombre completo del dominio.

Objetos huérfanos de AdminSDHolder

Cuando un usuario se quita de un grupo protegido, el atributo adminCount en esa cuenta de usuario se cambia a 0.Sin embargo, herencia no volver a habilitar en la cuenta de usuario.Como resultado, la cuenta de usuario ya no recibe su ACL del objeto AdminSDHolder, pero también no heredar los permisos de objetos primarios.El término común para este problema es "objetos huérfanos de AdminSDHolder". Hay ningún mecanismo automatizado para corregir la herencia en objetos que ya no pertenecen a grupos protegidos;debe tratar con objetos huérfanos de AdminSDHolder manualmente.Microsoft ha desarrollado y disposición de una secuencia de comandos VB que le ayudarán a en la herencia re-enabling en cuentas de usuario que anteriormente eran miembros de grupos protegidos.Para buscar la secuencia de comandos VB, vaya a delegado permisos no están disponibles y herencia está automáticamente deshabilitada.

Propagador del descriptor de seguridad

SDPROP es un proceso de fondo que se ejecuta en el controlador de dominio que desempeña la función de maestra de operaciones emulador de PDC.De forma predeterminada, SDPROP se ejecuta cada 60 minutos.SDPROP está diseñado para comparar la ACL de usuarios y grupos que son miembros de grupos protegidos.Si la lista de control de acceso es el mismo, SDPROP no toque la ACL.Sin embargo, si la lista de control de acceso es diferente, se sobrescribe con la ACL del objeto AdminSDHolder.

Modificar cómo suelen ejecuta SDPROP

Si la frecuencia predeterminada de 60 minutos para SDPROP ejecutar no es suficiente, puede cambiar al crear o modificar la entrada AdminSDProtectFrequency en la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Si esta clave no existe, se utiliza la frecuencia predeterminada (60 minutos).

Puede configurar la frecuencia a cualquier lugar entre un minuto y dos horas.Debe introducir el número de segundos al crear o modificar la entrada del registro.El siguiente comando configurará SDPROP para ejecutar cada 10 minutos (600 segundos):

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /V AdminSDProtectFrequency /T REG_DWORD /F /D 600

Sin embargo, tenga en cuenta que no se recomienda modificar esta subclave porque hacerlo así puede aumentar LSA (autoridad de seguridad local), sobrecarga de procesamiento.

Forzar SDPROP ejecutar

También puede forzar SDPROP para ejecutar en los casos donde va a probar cambios o no espere el intervalo configurado.Forzar SDPROP ejecutar implica inicializar manualmente el subproceso SDPROP para evaluar permisos heredados de objetos de Active Directory.Este proceso se puede lograr realizando los pasos siguientes en el controlador de dominio que desempeña la función de maestra de operaciones emulador de PDC:

1. Vaya a inicio.Haga clic en ejecutar.Escriba Ldp.exe.Haga clic en Aceptar.
2. En el menú de conexión en la consola LDP, haga clic en conectar.
3. En el cuadro de diálogo Conectar, escriba el nombre del servidor que desea conectarse en el campo y asegúrese de que 389 aparece en el campo puerto.Haga clic en Aceptar.
4. En el menú Connection, haga clic en Bind.
5. En la ventana de enlace, seleccione el enlace como opción de usuario que actualmente ha iniciado la sesión o seleccione el enlace con la opción credenciales.Si ha seleccionado el último, escriba las credenciales que se desea enlazar con.Haga clic en Aceptar.
6. En el menú Examinar, seleccione Modificar.
7. En el cuadro de diálogo Modificar, deje vacío el campo nombre completo.Escriba FixUpInheritance en el campo de atributo.Escriba Sí en el campo valor.Seleccione la operación de agregar, haga clic en ENTRAR.La figura 5 muestra aspecto de la ventana Modificar.
8. En el cuadro de diálogo Modificar, haga clic en ejecutar.El panel de detalles será similar del texto resaltado en la figura 6.

Figura 5 Ventana de modificación. Al forzar SDPROP para ejecutar en el cuadro de diálogo Modificar, haga clic en ejecutar. El panel de detalles será similar del texto resaltado en la figura 6. (Haga clic en la imagen para aumentarla)

Figura 6 Llamada Modificar operación en Ldp.exe. (Haga clic en la imagen para aumentarla)

En este momento, debe inicializar SDPROP.La cantidad de tiempo que tarda el proceso SDPROP depende del tamaño del entorno de Active Directory.Cuanto mayor sea el entorno, más tardará el proceso para ejecutar.Puede supervisar el contador de sucesos de propagación de seguridad DS en el objeto de rendimiento NTDS para determinar cuando haya finalizado SDPROP, que se indicará mediante un valor de contador de 0.

Conclusión

El AdminSDHolder es una característica importante de seguridad en Active Directory.El AdminSDHolder grupos protegidos y descriptor de seguridad cuentas de usuario segura de Ayuda de propagador que contiene permisos elevados de Active Directory.La funcionalidad de AdminSDHolder ha evolucionado desde Windows 2000 Server a Windows Server 2008.Durante esta evolución, Microsoft ha ampliado el número de objetos que están protegidos por AdminSDHolder, introdujo la capacidad para excluir determinados grupos de la Admin–SDHolder y agrega la capacidad de controlar con qué frecuencia se ejecuta SDPROP.

La mayoría de los administradores de Active Directory se han introducido para AdminSDHolder, intencionada o accidentalmente.He intentado proporcionarle una buena comprensión de lo que es AdminSDHolder, cómo funciona y qué limpieza es obligatorio cuando se quita un usuario de un grupo protegido, junto con algunos ajustes útiles.Espero que esta información ayudará impedir que se detecta desactivar protección la funcionalidad de AdminSDHolder la próxima vez delegar o quitar permisos Active Directory.

Cómo utilizar el atributo de dsHeuristics para excluir grupos de AdminSDHolder

El atributo dsHeuristics puede utilizarse para excluir determinados grupos de protegido por AdminSDHolder.Las instrucciones siguientes describen los pasos para modificar el atributo dsHeuristics en Windows Server 2008 R2:

1. Iniciar una sesión en un controlador de dominio o un equipo miembro que tiene las herramientas de administrador de servidor remoto (RSAT) instalado.

2. Vaya a inicio.Haga clic en ejecutar.Escriba adsiedit.msc y, a continuación, haga clic en Aceptar.

3. En la consola ADSIEdit, haga clic con el botón secundario en ADSI en el árbol de consola.Seleccione conecta con.

4. En la ventana Configuración de conexión, seleccione Configuración de la seleccione una lista desplegable de contexto de nombres conocidos.Haga clic en Aceptar.

5. En el árbol de consola, expanda Configuración, expanda Servicios y expanda Windows NT.Haga clic con el botón secundario en el nodo de servicio de directorio y, a continuación, seleccione Propiedades.

6. En el CN = ventana de propiedades del servicio de directorio, seleccione dsHeuristics.Haga clic en Editar.

7. En la ventana Editor de atributos de cadenas, copie el valor existente para dsHeuristics si se establece.

8. En la ventana Editor de atributo de cadena, reemplace el valor de dsHeuristics lo que desea establecer, como 000000000100000f para excluir grupos Operadores de cuentas, operadores de servidores, operadores de impresión y operadores de copia de seguridad.Figura A muestra la ventana Editor de atributos de cadenas.

   Nota: Reemplazar los ceros en la primera parte del valor por lo que es posible que ya tenga en dsHeuristics.Asegúrese de que tiene el número correcto de dígitos a "f"o cualquier bits desea establecer.

9. Haga clic en Aceptar en la ventana de editor de atributos de cadenas.Haga clic en Aceptar en el CN = ventana de propiedades del servicio de directorio.

Figura A Ventana Editor de atributo de cadena(Click the image for a larger view)

John Policelli, MVP de Microsoft para servicios de directorio, MCTS, MCSA, ITSM, iNet +, Network + y +, es un consultor IT centradas en soluciones con más de una década de éxito combinada en arquitectura, seguridad, planeamiento estratégico y planeamiento de recuperación de desastres.Para los últimos nueve años, ha especializado en Administración de identidades y acceso y proporcionar considerar el liderazgo de algunas de las instalaciones mayores de Canadá de Active Directory.Policelli es el autor de (SAMS Publishing, 2009) de Active Directory dominio Services 2008 procedimientos.