Синхронизация данных службы каталогов
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Синхронизация данных службы каталогов.
Справочные материалы
Этот параметр политики определяет, какие пользователи и группы имеют право синхронизировать все данные службы каталогов независимо от защиты объектов и свойств. Данная привилегия требуется для использования служб синхронизации каталогов LDAP (dirsync). Контроллеры домена изначально имеют это право, так как процесс синхронизации на контроллерах домена работает в контексте учетной записи Система.
Константа: SeSyncAgentPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Убедитесь, что никаким учетным записям не назначено право пользователя Синхронизация данных службы каталогов. Только контроллеры домена нуждаются в этой привилегии, которая им предоставляется изначально.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию этот параметр имеет значение «Не определено» на контроллерах домена и автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Право пользователя Синхронизация данных службы каталогов влияет на контроллеры домена (только контроллеры домена должны иметь возможность синхронизации данных службы каталогов). Контроллеры домена изначально имеют это право, так как процесс синхронизации на контроллерах домена работает в контексте учетной записи Система. Злоумышленники, получившие это право пользователя, могут просматривать все данные, хранящиеся в каталоге. Они могут использовать эти данные для упрощения дальнейших атак или раскрытия конфиденциальных данных, таких как прямые телефонные номера или физические адреса.
Меры противодействия
Убедитесь, что никаким учетным записям не назначено право пользователя Синхронизация данных службы каталогов.
Возможные последствия
Нет. По умолчанию используется конфигурация «Не определено».