Permissões de segurança do Active Directory são redefinidas automaticamente

2

Eu tenho uma máquina Server 2008 R2 com os Serviços de Implantação do Windows instalados, o que funciona perfeitamente bem. No entanto, após algum tempo (talvez uma reinicialização após a instalação das atualizações), as permissões de segurança aplicadas no Active Directory para permitir que o WDS funcione são redefinidas.

As configurações necessárias são:

Domain Admins:  Full Control
Enteprise Admins:  Full Control
Account Operators:  Full Control
System:  Full Control
SELF:  Create All Child Objects, Delete All Child Objects, Validated write to DNS host name, Validated write to service principal name, Read Personal Information, Write Personal Information

Eu apliquei essas configurações da própria máquina e do controlador de domínio. Não sei por que isso está acontecendo, não parece haver um problema com outras configurações do AD sendo redefinidas. Eu li sobre AdminSDHolder, mas não tenho certeza se isso se aplica no meu caso como eu estou definindo as permissões manualmente - também li que não é uma prática recomendada para alterá-lo, embora admitimos que esta é a primeira vez que eu me deparo com isso.

Como posso fazer o AD manter essas configurações?

    
por GJKH 05.02.2015 / 17:17

1 resposta

2

Conforme explicado no artigo da TechNet Magazine "AdminSDHolder, grupos protegidos e SDPROP" , O Active Directory "protege" membros de um conjunto de "grupos protegidos".

A cada 60 minutos, o Agente do Serviço de Diretório executa um trabalho em segundo plano que:

  1. Identifica todos os objetos "protegidos". Esses objetos terão seu atributo AdminCount definido para um valor de 1
  2. Para cada objeto que agora corresponde a (&(adminCount=1)) , copia o Descritor de segurança do objeto de contêiner AdminSDHolder e "marca" o objeto protegido com ele.

Este processo é chamado de "Propagador do Descritor de Segurança" ou "SDPROP".

Backup Operators é apenas um desses "Grupos Protegidos", portanto, se um objeto de conta de computador for um membro de Backup Operators , o SDPROP "redefinirá" o SD no objeto de conta de computador mencionado.

Se você quiser testar essa hipótese sem esperar até 1 hora, divida o PowerShell, conecte-se ao RootDSE de qualquer controlador de domínio no domínio e chame a rotina FixUpInheritance (é o que o SDPROP faz internamente de qualquer maneira) assim:

$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()

Você pode remover o servidor do grupo Backup Operators e, em seguida, desmarcar manualmente o atributo adminCount no objeto ou pode alterar o Descritor de segurança do objeto AdminSDHolder, embora eu recomende strongmente contra ele se você ' não está confiante no que você está fazendo

    
por 05.02.2015 / 19:11