シナリオ

tag-icon tag-icon windows active-directory windows-server-2016
シナリオ

シナリオ

Active Directoryには、スケジュールされたバックグラウンドプロセスがあります。SDプロップADが考慮する特定のグループ(およびそのメンバー)の特定のセキュリティ記述子(権限)を定期的にチェックして適用します。保護された設定される権限は、管理者SDホルダーAD 内のオブジェクト。

この議論の目的のために、私たちはドメイン管理者

こちらをご覧ください: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory

そしてここ: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups#default-security-groups

引用:

...保護されたアカウントとグループのいずれかの権限がAdminSDHolderオブジェクトの権限と一致しない場合、保護されたアカウントとグループの権限はドメインのAdminSDHolderオブジェクトの権限と一致するようにリセットされます。

さらに遠く、アカウントオペレーターデフォルトでは、ドメイン内のすべてのユーザー/コンピュータ/グループオブジェクトを管理する権限を持ちます。保護されたグループ/メンバーを除くこの SDProp プロセスによります。

例えば、アカウントオペレータでドメイン管理者アカウントを変更しようとすると、アクセスが拒否されましたエラー。

問題

創刊:

彼らはできないが修正するこれらの保護されたアカウントは、上記のプロセスに従って、アカウントオペレーターできるただし、削除してください! この保護メカニズムに関する私の理解では、これは不可能であるはずです。

ドメイン管理者アカウントの権限を表示すると、アカウントオペレータはどこにも表示されません。さらに、AOの有効なアクセスチェックを実行すると、読み取り権限/プロパティすべての書き込みおよび削除権限が拒否されましたこれは予想通りです。

保護されたアカウントを削除する権限は、そのアカウントを含むOUのACLから発生するようで、アカウントオペレータグループはユーザーオブジェクトの作成と削除その OU 内で、権限 (このオブジェクトのみ)。

たとえば、その ACE を編集して削除権限を削除すると、上記の問題は解消され、AO はドメイン管理者を削除できなくなります。

第2号

上で述べたように、有効な権限により、AO がオブジェクトを削除できるという事実が隠されているようです。これはまったく理解できません。

答えが必要な質問

  1. なぜOUの権限がadminSDHolderによって保護されたアカウントに設定された権限を上書きするのでしょうか?このプロセスの目的は、保護されたアカウントに適用される特定の委任権限をどこからでも防止することです。守る彼ら。

  2. OU 権限に従って、このアカウントを削除する権限があることが [有効なアクセス] タブに正しく反映されないのはなぜですか?

答え1

有効な権限により、AO がオブジェクトを削除できるという事実が隠されているようです。これはまったく理解できません。

これ気に入った安全なアイデンティティこのトピックについてはたくさん投稿しているので、あなたの質問に特に関連する部分を参照して引用しようと思いました。

これは、アカウント オペレーターの使用が AD ドメイン環境で標準的な方法である場合、多くの人がこれを認識したら知りたいと思う良い質問だと思います。私はアカウント オペレーターを使用してドメイン管理者メンバーの AD アカウントを削除しようとしたことは一度もありませんが、過去には自分がドメイン管理者であったときにアカウント オペレーターが使用された環境をサポートしたことがあります。

さて、Active Directory 内のオブジェクトの削除に関するオプションを見てみると、削除には 3 つの異なる種類があることがわかります。

  • 削除 (DELETE アクセス マスク)
  • 子の削除 (ADS_RIGHT_DS_DELETE_CHILD アクセス マスク)
  • サブツリーの削除 (ADS_RIGHT_DS_DELETE_TREE アクセス マスク)

ここで興味深い点があります。削除アクションを実行すると、システムは削除を許可または拒否する前に、オブジェクトとその親オブジェクトの両方のセキュリティ記述子を検証します。

ユーザーへの削除アクセスを明示的に拒否する ACE は、ユーザーが親に対して子の削除アクセスを持っている場合は効果がありません。同様に、親に対する子の削除アクセスを拒否する ACE は、オブジェクト自体に削除アクセスが許可されている場合は上書きできます。

ソース: アクセス制御とオブジェクトの削除

削除と子の削除の例:

例 1:

管理者ユーザー Tony は、Hank という名前のドメイン管理者ユーザーに対する ACE: 削除アクセスを許可を持っていません。Tony が親 OU に対して ACE: 子ユーザーの削除を許可を持っている場合、アカウントを削除できます。

例2:

Hank に明示的な ACE: 削除アクセスの拒否が設定されている場合、親 OU に ACE: 子ユーザーの削除を許可するが設定されていれば、Tony はアカウントを削除できます。

これを逆にすると、Tony は親 OU の ACE: Deny Delete Child User になってしまいますが、ユーザー オブジェクトの ACE に Explicit Allow Delete が設定されていれば、引き続き削除できます。

したがって、AdminSDHolder Security Descriptorすべてのシナリオで管理者やネストされたグループを実際に保護するわけではないことがわかります。有効なアクセス許可の図をもう一度見てみると、Tony にはユーザーを削除する権限がありませんでした。しかし、彼は親 OU で ACE: 子ユーザーの削除を許可 を持っているため、Domain Admins グループのメンバーである Hank を削除することができます。

デフォルトの権利

削除アクセス権について説明しましたが、Active Directory でこれらの権限をデフォルトで持つのは誰なのかについて考えるのは良い考えかもしれません。管理者、ドメイン管理者、エンタープライズ管理者などの明らかな権限のほかに、もちろんよく知られている アカウントオペレーターグループ

アカウント オペレーターには、ユーザー、コンピューター、グループ、および InetOrgPerson オブジェクトに対する明示的なフル コントロールがデフォルトで付与されています。AdminSDHolder セキュリティ記述子には明示的なアクセス権は付与されていませんが、組織単位で子ユーザー、グループ、コンピューター、および InetOrgPerson を明示的に作成/削除する権限は付与されています。ドメイン管理者の親 OU に明示的に「子ユーザーの削除を拒否」オプションがない場合、AO はドメイン管理者ユーザーを削除できます。

(この作業は、スキーマで定義されたオブジェクト クラスの defaultSecurityDescriptor 属性から削除できます)

もう 1 つの視点は、グループ ネストをターゲットにすることです。ユーザーがグループ ネスト経由で DA メンバーシップを持っている場合は、そのグループを削除するだけで、ユーザーは DA ではなくなります。

これらは、誤った委任のリスクを最小限に抑えるために、Admin OU を Root OU として分離する必要があるいくつかの理由です。

ソース

サポートリソース

答え2

あなたの誤解は、Domain Admins は保護されたグループなので、そのメンバーもすべて保護されているという想定から来ていると思います。これは事実ではありません。したがって、AdminSDHolder はこれらのアカウントには適用されません。

ドキュメントでは明確には述べられていませんが、ドメイン管理者のメンバーは保護されているとは見なされていません。また、アカウントオペレーターがドメイン管理者グループのメンバーを削除できないとも述べられていません。

参考文献:

関連情報