Microsoft a mis en place une stratégie de sécurité afin de protéger les comptes sensibles au sein de votre domaine Active Directory .
Pourquoi :
Ce mécanisme permet de verrouiller une délégation restrictive sur les comptes sensibles.
Comment :
Cette stratégie consiste à forcer des ACL sur les comptes membres des groupes sensibles listés ci-dessous en utilisant comme modèle l’objet “AdminSDHolder situé dans le container “System” .
|
1 |
CN=AdminSDHolder, CN=System, DC=jerbi, DC=fr |
Membres des groupes ci-dessous :
- Administrateurs de l’entreprise
- Administrateurs du schéma
- Admins du domaine
- Administrateurs
- Contrôleurs de domaine
- Éditeurs de certificats
- Opérateurs de sauvegarde
- Opérateurs de serveur Replicator
- Opérateurs de compte
- Opérateurs d’impression
Techniquement, cela se traduit par un processus qui tourne toutes les heures sur le PDC de votre domaine et qui applique les mêmes ACLs de l’object “AdminSDHolder” à tous les comptes membres des groupes sensibles.
Le processus analyse les membres des groupes sensibles et lors de l’ ajout d’un utilisateur à l’un de ces groupes :
- L’attribut “AdminCount” de ce dernier sera modifié à la valeur ” 1″
- Héritera ensuite des mêmes ACL que l’objet “AdminSDHolder”
- L’héritage d’ ACLs parents de ce compte sera désactivé
AdminSDHolder orphelin :
Attention, lors qu’un utilisateur est retiré d’un des groupes sensibles, malheureusement, son attribut “AdminCount” reste à “1” et continuera d’hériter des ACLs restrictives de l’objet ” AdminSDHolder”.
La seule façon de remédier à ce problème est de vider l’attribut “AdminCount” et de réactiver l’héritage des ACL parents.