Conforme explicado no artigo da TechNet Magazine "AdminSDHolder, grupos protegidos e SDPROP" , O Active Directory "protege" membros de um conjunto de "grupos protegidos".
A cada 60 minutos, o Agente do Serviço de Diretório executa um trabalho em segundo plano que:
- Identifica todos os objetos "protegidos". Esses objetos terão seu atributo
AdminCount
definido para um valor de1
- Para cada objeto que agora corresponde a
(&(adminCount=1))
, copia o Descritor de segurança do objeto de contêiner AdminSDHolder e "marca" o objeto protegido com ele.
Este processo é chamado de "Propagador do Descritor de Segurança" ou "SDPROP".
Backup Operators
é apenas um desses "Grupos Protegidos", portanto, se um objeto de conta de computador for um membro de Backup Operators
, o SDPROP "redefinirá" o SD no objeto de conta de computador mencionado.
Se você quiser testar essa hipótese sem esperar até 1 hora, divida o PowerShell, conecte-se ao RootDSE
de qualquer controlador de domínio no domínio e chame a rotina FixUpInheritance
(é o que o SDPROP faz internamente de qualquer maneira) assim:
$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()
Você pode remover o servidor do grupo Backup Operators
e, em seguida, desmarcar manualmente o atributo adminCount
no objeto ou pode alterar o Descritor de segurança do objeto AdminSDHolder, embora eu recomende strongmente contra ele se você ' não está confiante no que você está fazendo