AdminSDHolder et les comptes protégés

Microsoft a mis en place une stratégie de sécurité afin de protéger les comptes sensibles  au sein de votre domaine Active Directory .

 

Pourquoi : 

Ce mécanisme permet de verrouiller une délégation restrictive sur les comptes sensibles.

 

Comment :

Cette stratégie consiste à forcer des ACL sur les comptes membres des groupes sensibles listés ci-dessous en utilisant comme modèle l’objet “AdminSDHolder situé dans le container “System” .

 

Membres des groupes  ci-dessous :

  • Administrateurs de l’entreprise
  • Administrateurs du schéma
  • Admins du domaine
  • Administrateurs
  • Contrôleurs de domaine
  • Éditeurs de certificats
  • Opérateurs de sauvegarde
  • Opérateurs de serveur Replicator
  • Opérateurs de compte
  • Opérateurs d’impression

 

Techniquement, cela se traduit par un processus qui tourne toutes les heures sur le PDC de votre domaine et qui applique les mêmes ACLs de l’object “AdminSDHolder” à tous les comptes membres des groupes sensibles.

 

Le processus analyse les membres des groupes sensibles et lors de l’ ajout  d’un utilisateur à l’un de ces groupes  :

  • L’attribut “AdminCount”  de ce dernier sera modifié à la valeur ” 1″
  • Héritera ensuite des mêmes ACL que l’objet  “AdminSDHolder”
  • L’héritage d’ ACLs  parents de ce compte  sera désactivé

 

AdminSDHolder orphelin : 

Attention, lors qu’un utilisateur est retiré d’un des groupes sensibles, malheureusement, son attribut  “AdminCount” reste à “1” et continuera d’hériter des ACLs restrictives de l’objet ” AdminSDHolder”.

La seule façon de remédier à ce problème est de vider l’attribut “AdminCount” et de réactiver l’héritage des ACL parents.

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.