Active Directory

AdminSDHolder, gruppi protetti e SDPROP

John Policelli

 

Panoramica:

  • Cenni preliminari su AdminSDHolder, gruppi protetti e SDPROP
  • Controllare i gruppi che sono protetti da AdminSDHolder
  • Propagatore dei descrittori di protezione

Contenuti

L'oggetto AdminSDHolder
ACL predefinito
Gruppi protetti
Controllo dei gruppi che sono protetti da AdminSDHolder
Determinare se un'identità di protezione è protetti da AdminSDHolder
Oggetti isolati di AdminSDHolder
Gestore dei descrittori di protezione
Modifica come spesso SDPROP esegue
Imposizione SDPROP per l'esecuzione
Conclusioni

Servizi di dominio di directory attiva utilizza AdminSDHolder, gruppi protetti e propagatore descrittore di protezione dei (propagatore di descrittore di protezione dei o SDPROP breve) protetto agli utenti con privilegiato e ai gruppi da modifiche non intenzionali.Questa funzionalità è stata introdotta nella versione primo di Active Directory in Windows 2000 Server ed è piuttosto noto.Tuttavia, quasi tutti gli amministratori IT hanno stato negativamente interessati da questa funzionalità e che consente di continuare se non sono completamente comprendere il funzionamento AdminSDHolder SDPROP e di gruppi protetti.

Ciascun dominio di Active Directory dispone di un oggetto denominato AdminSDHolder, che risiede nel contenitore di sistema del dominio.L'oggetto AdminSDHolder dispone di un univoco Access elenco di controllo (ACL), che consente di controllare le autorizzazioni di identità di protezione che appartengono a gruppi di Active Directory con privilegi incorporati (come desidera chiamare "protetto"gruppi).Ogni ora, un processo denominato SDPROP in background viene eseguito sul controller di dominio che svolge il ruolo di master operazioni emulatore PDC.Confronta l'ACL per tutte le identità di protezione (utenti, gruppi e account computer) che appartengono a gruppi protetti contro l'ACL per l'oggetto AdminSDHolder.Se gli elenchi ACL non sono uguali, l'ACL per l'identità di protezione viene sovrascritto con l'ACL dall'oggetto Admin–SDHolder.Inoltre, disabilitazione dell'ereditarietà nell'identità di protezione.

Come si può vedere, più livelli di protezione sono incorporate in questa funzionalità.In primo luogo, le autorizzazioni applicate agli utenti appartenenti a gruppi protetti sono più restrittivi rispetto di autorizzazioni predefinito applicati su altri account utente.Successivamente, questa funzionalità consente di disattivare l'ereditarietà per questi account con privilegi, garantendo che autorizzazioni a livello di padre non vengono ereditate dagli oggetti protetti, indipendentemente dalla posizione in cui risiedono.Infine, il processo SDPROP eseguito ogni 60 minuti identifica le modifiche manuali per un elenco di controllo di accesso e ne inverte in modo che l'ACL corrisponda l'ACL per l'oggetto AdminSDHolder.

Vedere l'intestazione laterale "Un esempio comune dell'impatto di AdminSDHolder, gruppi di Protected e SDPROP"per un aspetto reali a questa funzionalità.

L'oggetto AdminSDHolder

Come accennato, ogni dominio Active Directory contiene un oggetto AdminSDHolder si trova nella partizione di sistema del dominio.Il nome distinto dell'oggetto AdminSDHolder è "CN = AdminSDHolder, CN = System, DC = domain, DC = com"dove DC = domain, DC = com è il nome distinto del dominio.Nella figura 1 mostra l'oggetto di AdminSDHolder in un dominio di Windows Server 2008 R2.

policellifigure1_hi.gif

Figura 1 Oggetto AdminSDHolder (fare clic l'immagine per ingrandirla)

ACL predefinito

Poiché l'oggetto AdminSDHolder viene utilizzato nel processo di protezione degli account con privilegi, l'ACL predefinito nell'oggetto AdminSDHolder è più rigide rispetto l'ACL di altri oggetti, ad esempio dominio, unità organizzative e contenitori.

Nell'ACL per AdminSDHolder predefinito, proprietario è il gruppo Domain Admins, è piuttosto raro.La maggior parte degli oggetti di Active Directory dispongono del gruppo Administrators come proprietario predefinito.Ecco significativo quanto un proprietario può assumere il controllo di un oggetto e reimpostare autorizzazioni.

Un altro fattore di progettazione importante per l'oggetto AdminSDHolder è che l'ereditarietà è disabilitata, che garantisce che nessun parent-level autorizzazioni vengono ereditate.

Infine, i gruppi Administrators, Domain Admins ed Enterprise Admins sono i gruppi che condividono l'autorizzazione di scrittura agli attributi AdminSDHolder, che è più rigide rispetto di autorizzazioni predefinito applicati ad altri oggetti Active Directory.

Gruppi protetti

Come già indicato, autorizzazioni di AdminSDHolder applicano a identità di protezione che appartengono a gruppi protetti.L'elenco di gruppi protetti è espanso a partire dal primo rilascio di Active Directory in Windows 2000 Server.Nella figura 2 viene illustrato che il valore predefinito protetto gruppi e utenti da Windows 2000 Server a Windows Server 2008 R2.

Gruppi di protezione predefinito nella figura 2
Windows 2000 Server RTM
Windows 2000 Server con SP1
Windows 2000 Server con SP2
Windows 2000 Server con SP3
Windows 2000 Server con SP4
Windows Server 2003 RTM
Windows Server 2003 con SP1
Windows Server 2003 con SP2
Windows Server 2008 RTM
Windows Server 2008 R2
Amministratori Account Operators Account Operators Account Operators
Domain Admins Administrator Administrator Administrator
Enterprise Admins Amministratori Amministratori Amministratori
Schema Admins Backup Operators Backup Operators Backup Operators
  Pubblicazione del certificato Domain Admins Domain Admins
  Domain Admins Controller di dominio Controller di dominio
  Controller di dominio Enterprise Admins Enterprise Admins
  Enterprise Admins Krbtgt Krbtgt
  Krbtgt Print Operators Print Operators
  Print Operators Replicator Controller di dominio di sola lettura
  Replicator Schema Admins Replicator
  Schema Admins Server Operators Schema Admins
  Server Operators   Server Operators

Protezione di un esempio comune dell'impatto di AdminSDHolder, gruppi e SDPROP

La maggior parte di Active Directory gli amministratori vengono a conoscenza di AdminSDHolder, protetti SDPROP e gruppi tramite uno scenario di questo tipo:

È delegare autorizzazioni su un Organizational Unit (OU).In un secondo momento si è informati che le autorizzazioni sono disponibili per la maggior parte, ma non tutti, gli account utente dell'unità ORGANIZZATIVA.È possibile determinare che l'ACL per i conti interessati è diverso da delega e che l'ereditarietà non è abilitato, in modo che consentono l'ereditarietà risolvere il problema.Inizialmente, questo sembra funzionare, ma in seguito riemerga il problema.Nuovamente determinare l'ACL è diverso e l'ereditarietà è stata disattivata.

Ho visto gli utenti passano attraverso il ciclo infinito apparente più volte.

Questa situazione effettivamente legato alla progettazione, tuttavia.È causato da AdminSDHolder, gruppi protetti e SDPROP.

I conti interessati dal problema appartengono a un gruppo protetto.Di conseguenza, l'ACL per questi account viene ereditato dall'oggetto AdminSDHolder nel dominio e l'ereditarietà viene disattivata.Ecco perché le autorizzazioni che è stato delegato non applicate all'account di utente interessato dal problema.Quando si abilita manualmente l'ereditarietà per questi account, le autorizzazioni delegate vengono aggiunti all'ACL.

Tuttavia, quando il processo di SDPROP viene eseguito nel controller di dominio che svolge il ruolo di master operazioni emulatore PDC, per impostazione predefinita, ogni 60 minuti, l'ACL viene sovrascritto in modo che corrisponda l'ACL per l'oggetto AdminSDHolder e l'ereditarietà viene disattivata.

Elenco dei gruppi protetti consisteva di quattro gruppi di protezione in Windows 2000 Server RTM.In Windows 2000 Server SP4 e Windows Server 2003, sono stati aggiunti diversi altri gruppi, inclusi gli account Administrator e Krbtgt.In Windows Server 2003 con SP1 e versioni successive, Microsoft rimosso il gruppo Autori certificazione dai gruppi predefiniti protetti.In Windows Server 2008, Microsoft esteso questo elenco per includere il gruppo controller di dominio di sola lettura.L'elenco di gruppi protetti non è stato modificato nella build di Release Candidate di Windows Server 2008 R2.

Controllo dei gruppi che sono protetti da AdminSDHolder

In mia esperienza, un sottoinsieme di questi predefinito protetto AdminSDHolder gruppi causa problemi.Ad esempio, molte organizzazioni utilizzano il gruppo Print Operators, per la gestione di servizi di stampa ma non per gestione di Active Directory.Tuttavia, il gruppo Print Operators è un gruppo protetto perché con elevati autorizzazioni sui controller di dominio per impostazione predefinita.Una procedura consigliata consiste nel rimuovere le autorizzazioni con privilegi elevati dotato di questo gruppo nel controller di dominio.Se si segue questa pratica migliore (e occorre!), probabilmente non è necessario proteggere il gruppo a AdminSDHolder.

È possibile escludere un sottoinsieme dell'impostazione predefinita proteggere gruppi dal processo di AdminSDHolder, tra cui:

  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators

La possibilità di gruppi di controllo che sono protetti da AdminSDHolder è stato introdotto tramite l'aggiornamento rapido per le versioni RTM di Windows 2000 Server e Windows Server 2003 e inclusa nel service pack più recente per Windows Server 2003 e in versioni di Windows Server 2008 e Windows Server 2008 R2 RTM.Per ulteriori informazioni sull'aggiornamento rapido, passare a delegato autorizzazioni non sono disponibili e l'ereditarietà è automaticamente disabilitati.

La funzione di controllo gruppi protetti da AdminSDHolder è attivata modificando il flag dsHeuristic.Si tratta di una stringa Unicode in cui ogni carattere contiene un valore per una singola impostazione a livello di dominio.Posizione del carattere 16 viene interpretato come un valore esadecimale, in cui il carattere più a sinistra corrisponde alla posizione 1.Pertanto, gli unici valori validi sono "0"tramite "f".Ogni gruppo operatore presenta un bit specifici, come illustrato in figura 3.

Nella figura 3 dsHeuristic operatore bit
Bit Gruppo di esclusione Valore binario Valore esadecimale
0 Account Operators 0001 1
1 Server Operators 0010 2
2 Print Operators 0100 4
3 Backup Operators 1000 8

Questa situazione diventa ancora più complessa quando si tenta l'esclusione di più di un gruppo da AdminSDHolder, soprattutto perché è più combinazioni di esclusioni, ad esempio, Account Operators e Server Operators, o Account Operators e Backup Operators.Per risolvere questo problema, aggiungere semplicemente il valore binario di ogni gruppo e quindi convertire il risultato su un valore esadecimale.Ad esempio, per escludere i Print Operators e Backup Operators gruppi hanno il valore binario per Print Operators gruppo (0100) e per aggiungere il valore binario di operatori di backup raggruppare (1000), che equivale a 1100.È quindi possibile convertire la somma di binaria (1100) sul valore esadecimale (C).

Per semplificare un po' questa attività, figura 4 elenchi tutte le possibili combinazioni in formato esadecimale e binario.

Nella figura 4 dsHeuristic valori per la rimozione di combinazioni di gruppi
Gruppi da escludere Valore binario Valore esadecimale
Nessuno (impostazione predefinita) 0 0
Account Operators 1 1
Server Operators 10 2
Account Operators
Server Operators
0001 + 0010 = 0011 3
Print Operators 100 4
Account Operators
Print Operators
0001 + 0100 = 0101 5
Server Operators
Print Operators
0010 + 0100 = 0110 6
Account Operators
Server Operators
Print Operators
0001 + 0010 + 0100 = 0111 7
Backup Operators 1000 8
Account Operators
Backup Operators
0001 + 1000 = 1001 9
Server Operators
Backup Operators
0010 + 1000 = 1010 In un elemento
Account Operators Server Operators
Backup Operators
0001 + 0010 + 1000 = 1011 B
Print Operators
Backup Operators
0100 + 1000 = 1100 C
Account Operators
Print Operators
Backup Operators
0001 + 0100 + 1000 = 1101 D
Server Operators
Print Operators
Backup Operators
0010 + 0100 + 1000 = 1110 E
Account Operators
Server Operators
Stampa operatori Backup Operators
0001 + 0010 + 0100 + 1000 = 1111 F

Dopo avere deciso quali gruppi si desidera escludere, si è pronti per modificare l'attributo dsHeuristics.Per ulteriori informazioni su tale processo, vedere l'intestazione laterale "Utilizzo dell'attributo dsHeuristics a gruppi di esclusione da AdminSDHolder".

Determinare se un'identità di protezione è protetti da AdminSDHolder

Un numero abbastanza elevato di utenti predefiniti e i gruppi è protetti da AdminSDHolder.Un aspetto da tenere a mente è che gli utenti sono protetti da AdminSDHolder se hanno diretto o transitivo appartenenza in un gruppo di protezione o liste di distribuzione.Poiché è possibile convertire un gruppo di distribuzione a un gruppo di protezione, sono inclusi i gruppi di distribuzione.

Si supponga che un utente appartiene a una lista di distribuzione denominata IT Canada.Lista di distribuzione IT Canada è membro di gruppo di protezione IT dell'America del Nord;il gruppo di protezione IT dell'America del Nord è un membro del gruppo Administrators.Perché l'utente è transitivo l'appartenenza al gruppo include al gruppo Administrators (della nidificazione dei gruppi), l'account utente protetto da AdminSDHolder.

Non c'è di determinare quali utenti e gruppi AdminSDHolder protegge nel dominio in modo semplice.È possibile eseguire una query l'attributo adminCount per determinare se un oggetto è protetto dall'oggetto AdminSDHolder.Negli esempi riportati di seguito utilizzano lo strumento di ADFind.exe, che può essere scaricato da joeware.NET.

  • Per trovare tutti gli oggetti in un dominio che sono protetti da AdminSDHolder, digitare:
Adfind.exe -b DC=domain,DC=com -f "adminCount=1" DN
  • Per trovare tutti gli oggetti utente in un dominio che sono protetti da AdminSDHolder, digitare:
Adfind.exe -b DC=domain,DC=com -f "(&(objectcategory=person)(objectclass=user)(admincount=1))" DN
  • Per trovare tutti i gruppi in un dominio che sono protetti da AdminSDHolder, digitare:
Adfind.exe -b DC=domain,DC=com -f "(&(objectclass=group)(admincount=1))" DN

Nota: In esempi precedenti, sostituire il DC = domain, DC = com con il nome distinto del dominio.

Oggetti isolati di AdminSDHolder

Quando un utente viene rimosso da un gruppo protetto, l'attributo adminCount tale account utente viene modificata su 0. Tuttavia, l'ereditarietà non è riattivato sull'account utente. Di conseguenza, l'account utente non riceva più l'ACL dall'oggetto AdminSDHolder, ma anche non ereditare le autorizzazioni dagli oggetti padre. Il termine comune per questo problema è "oggetti di AdminSDHolder orfani". Non è disponibile per correggere l'ereditarietà su oggetti che non appartengono più gruppi protetti; un meccanismo automaticodevono affrontare gli oggetti di AdminSDHolder isolati manualmente. Microsoft ha sviluppato e reso disponibile uno script di VB che consentono di abilitare nuovamente l'ereditarietà per gli account utente che in precedenza erano membri di gruppi protetti. Per trovare lo script VB, Vai a delegato autorizzazioni non sono disponibili e l'ereditarietà è automaticamente disabilitati.

Gestore dei descrittori di protezione

SDPROP è un processo di background utilizzabile con il controller di dominio che svolge il ruolo di master operazioni emulatore PDC. Per impostazione predefinita, SDPROP viene eseguito ogni 60 minuti. SDPROP è progettato per confrontare l'ACL per gli utenti e i gruppi membri di gruppi protetti. Se l'ACL è lo stesso, SDPROP non tocca l'ACL. Tuttavia, se l'ACL è diverso, è sovrascritte con l'ACL dall'oggetto AdminSDHolder.

Modifica come spesso SDPROP esegue

Se la frequenza predefinita di 60 minuti per SDPROP eseguire non è sufficiente, è possibile modificare creando o modificando la voce AdminSDProtectFrequency nella sottochiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Se questa chiave non esiste, verrà utilizzata la frequenza predefinita (60 minuti).

È possibile configurare la frequenza in qualsiasi punto tra un minuto e due ore. È necessario immettere il numero di secondi durante la creazione o modifica della voce del Registro di sistema. Il seguente comando configurerà SDPROP eseguire ogni 10 minuti (600 secondi):

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /V AdminSDProtectFrequency /T REG_DWORD /F /D 600

Si noti, tuttavia, che modifica di questa sottochiave non è consigliata perché può aumentare l'overhead di elaborazione di LSA (autorità di protezione locale).

Imposizione SDPROP per l'esecuzione

È anche possibile imporre SDPROP eseguire nei casi in cui si stanno verificando le modifiche o Impossibile attendere l'intervallo configurato. Imporre SDPROP eseguire implica l'inizializzazione manualmente il thread SDPROP valutare autorizzazioni ereditate per gli oggetti Active Directory. Questo processo può essere ottenuto eseguendo le seguenti operazioni sul controller di dominio che svolge il ruolo di master operazioni emulatore PDC:

  1. Passare a Start. Fare clic sul pulsante Esegui. Digitare Ldp.exe. Fare clic su OK.
  2. Scegliere Connetti dal menu Connection nella console di LDP.
  3. Nella finestra di dialogo Connetti digitare il nome del server che si desidera collegarsi nel campo Server e assicurarsi che 389 sia elencato nel campo porta. Fare clic su OK.
  4. Scegliere Bind dal menu connessione.
  5. Nella finestra di associazione, selezionare il binding come l'opzione utente correntemente connesso oppure selezionare il binding con credenziali opzione. Se è stato selezionato il secondo, immettere le credenziali si desidera effettuare l'associazione con. Fare clic su OK.
  6. Nel menu Sfoglia, selezionare Modifica.
  7. Nella finestra di dialogo Modifica, lasciare vuoto il campo DN. Tipo FixUpInheritance nel campo Attribute. Digitare Sì nel campo valore. Selezionare l'operazione Aggiungi, quindi fare clic su INVIO. Nella figura 5 mostra l'aspetto deve essere la finestra di modifica.
  8. Fare clic su nella finestra di dialogo Modifica, scegliere Esegui. Riquadro dei dettagli sarà simile al testo evidenziato in figura 6.

policellinewfigure5_hi.gif

Nella figura 5 la finestra di modifica. Quando imporre SDPROP eseguire nella finestra di dialogo Modifica, fare clic su Esegui. Riquadro dei dettagli sarà simile al testo evidenziato nella figura 6. (fare clic sull'immagine per ingrandirla)

policellinewfigure6_hi.gif

Figura 6 Chiamata Modifica operazione in LDP.exe. (fare clic sull'immagine per ingrandirla)

A questo punto necessario inizializzare SDPROP. Quanto tempo che il processo di SDPROP dipende dalle dimensioni dell'ambiente Active Directory. Maggiore è l'ambiente, il più richiederà il processo venga eseguito. È possibile monitorare il contatore di DS protezione propagazione eventi nell'oggetto prestazioni NTDS per determinare quando SDPROP è stata completata, verrà indicata da un valore contatore pari a 0.

Conclusioni

AdminSDHolder è una funzionalità di protezione di livello importante in Active Directory. AdminSDHolder, gruppi protetti e descrittore di protezione propagatore della Guida in linea protetto account utente che contengono autorizzazioni Active Directory con privilegi elevati. La funzionalità di AdminSDHolder è evoluto da Windows 2000 Server a Windows Server 2008. Durante questa evoluzione, Microsoft ha esteso il numero di oggetti che sono protetti da AdminSDHolder, è stata introdotta escludere determinati gruppi dal Admin–SDHolder la possibilità e aggiunta di controllare la frequenza di esecuzione SDPROP.

La maggior parte degli amministratori Active Directory sono stati introdotti per AdminSDHolder, intenzionalmente o inavvertitamente. Ho tentato di fornire una buona conoscenza della AdminSDHolder è, funzionamento e delle è necessaria l'operazione di rimozione quando si rimuove un utente da un gruppo protetto, con alcune modifiche specifiche di utile. Mi auguro che queste informazioni consentiranno impedire che venga rilevata disattivare protezione dalla funzionalità di AdminSDHolder il successivo delegare o rimuovere autorizzazioni Active Directory.

Utilizzo dell'attributo dsHeuristics per escludere gruppi da AdminSDHolder

L'attributo dsHeuristics può essere utilizzato per escludere determinati gruppi dalla protetti da AdminSDHolder. Le istruzioni riportate di seguito descrivono i passaggi per la modifica dell'attributo dsHeuristics in Windows Server 2008 R2:

  1. Accedere a un controller di dominio o a un computer membro in cui i remoto Server Administrator Tools (RSAT) installato.

  2. Passare a Start. Fare clic sul pulsante Esegui. Digitare adsiedit.msc, quindi fare clic su OK.

  3. In console di ADSI Edit, clic con il pulsante destro del mouse sul ADSI Edit nella struttura della console. Selezionare Connetti A.

  4. Nella finestra Impostazioni di connessione, selezionare la configurazione da selezionare un elenco a discesa contesto dei nomi noti. Fare clic su OK.

  5. Nella struttura della console, espandere Configurazione, fare doppio clic su servizio ed espandere e Windows NT. Fare clic con il pulsante destro del mouse sul servizio directory nodo, quindi scegliere Proprietà.

  6. In CN = Directory Service finestra, selezionare dsHeuristics. Scegliere Modifica.

  7. Nella finestra Editor attributo stringa, copiare il valore esistente per dsHeuristics se è impostata.

  8. Nella finestra Editor attributo stringa, è necessario sostituire il valore dsHeuristics con ciò che si desidera impostare, ad esempio 000000000100000f per escludere gruppi Account Operators, Server Operators, Print Operators e Backup Operators. Nella Figura A visualizza la finestra di Editor attributo stringa.

    Nota: Sostituire gli zeri nella prima parte del valore con ciò che potrebbe essere già presenti in dsHeuristics. Assicurarsi che sia il numero corretto di cifre su "f"o qualsiasi bit che si desidera impostare.

  9. Fare clic su OK nella finestra Editor attributo stringa. Fare clic su OK nella CN = Directory Service finestra.

policellifigurea_hi.gif

Figura A Finestra Editor attributo stringa(Click the image for a larger view)

John Policelli, MVP Microsoft per NDS, MCTS, MCSA, ITSM, iNet +, Network + e A + è un consulente IT incentrato su soluzioni con più di un decennio di successo combinato in architettura, protezione, pianificazione strategica e pianificazione di ripristino di emergenza. Negli ultimi nove anni, è stata esaminata sulla gestione di identità e accessi e fornire svolge alcune delle installazioni di più grande del Canada di Active Directory. Policelli è l'autore di Active Directory Domain Services 2008 procedure (Sams Publishing, 2009).