Guión
Active Directory tiene un proceso en segundo plano programado llamadoSDPropque periódicamente comprueba y aplica un descriptor de seguridad específico (permisos) de ciertos grupos (y sus miembros) que AD consideraprotegido. Los permisos que se establecen se derivan de los establecidos en elAdministradorSDHolderobjeto en AD.
A los efectos de esta discusión, nos centraremos enAdministradores de dominio.
Cita:
... Si los permisos de cualquiera de las cuentas y grupos protegidos no coinciden con los permisos del objeto AdminSDHolder, los permisos de las cuentas y grupos protegidos se restablecen para que coincidan con los del objeto AdminSDHolder del dominio.
Más,Operadores de cuentastener, de forma predeterminada, permisos para administrar todos los objetos de usuario/computadora/grupo en el dominio,excepto cualquiera de los grupos/miembros protegidos, debido a este proceso SDProp.
Por ejemplo, intentar modificar una cuenta de administrador de dominio con un operador de cuenta conduce a unaacceso denegadoerror.
Asuntos
Primer problema:
Si bien no puedenmodificarestas cuentas protegidas, según el proceso anterior,Operadores de cuentasPODER, sin embargo, eliminarlos! Esto no debería ser posible según mi comprensión de este mecanismo de protección.
Al ver los permisos de la cuenta de administrador del dominio, los Operadores de cuentas no aparecen en ninguna parte. Además, ejecutar una verificación de acceso efectiva para un AO muestra que solo tieneleer permisos/propiedades. Todos los permisos de escritura y eliminación están denegados.. Esto es lo que se espera.
Parece que la capacidad de eliminar la cuenta protegida surge de una ACL en la unidad organizativa que la contiene, por lo que el grupo de Operadores de cuentas tiene laCrear y eliminar objetos de usuarioderecha (solo este objeto), dentro de esa unidad organizativa.
Por ejemplo, si edito ese ACE y elimino el derecho de Eliminar, el problema mencionado anteriormente desaparece y el AO ya no puede eliminar el administrador del dominio.
Segundo problema
Como se señaló anteriormente, los permisos efectivos parecen ocultar el hecho de que el AO puede eliminar el objeto. Realmente no entiendo esto.
Preguntas que necesitan respuesta
¿Por qué el permiso en la unidad organizativa anula los permisos establecidos en la cuenta protegida por adminSDHolder? El propósito completo de este proceso es PREVENIR cualquier permiso delegado específico desde cualquier lugar que se aplique a las cuentas protegidas, con el fin deprotegera ellos.
¿Por qué la pestaña Acceso efectivo no refleja correctamente que tengo la capacidad de eliminar esta cuenta, según los permisos de la unidad organizativa?
Respuesta1
Los permisos efectivos parecen ocultar el hecho de que el AO puede eliminar el objeto. Realmente no entiendo esto.
me gustó estoIdentidad seguraPublique tanto sobre este tema, pensé en hacer referencia y citar las partes relevantes que se relacionan específicamente con su pregunta.
Creo que es una buena pregunta que muchas personas querrían saber una vez que sean conscientes de esto, si el uso de Operadores de cuentas es una práctica estándar en su entorno de dominio AD. Ciertamente, nunca había intentado eliminar una cuenta AD de miembro de Administrador de dominio con un Operador de cuentas, pero He admitido entornos en el pasado donde usaban operadores de cuentas donde yo era administrador de dominio.
Ahora bien, si miramos las opciones que tenemos respecto a eliminar objetos en Active Directory habrás visto que existen tres tipos diferentes de Eliminar:
- Eliminar (ELIMINAR máscara de acceso)
- Eliminar niño (ADS_RIGHT_DS_DELETE_CHILD Máscara de acceso)
- Eliminar subárbol (ADS_RIGHT_DS_DELETE_TREE Máscara de acceso)
Y aquí se pone interesante. Al realizar una acción de eliminación, el sistema verifica el descriptor de seguridad tanto del objeto como de su objeto principal antes de permitir o denegar la eliminación.
Una ACE que deniegue explícitamente el acceso de eliminación a un usuario no tiene ningún efecto si el usuario tiene acceso de eliminación infantil en el padre. De manera similar, una ACE que deniega el acceso Eliminar hijo en el padre se puede anular si se permite el acceso DELETE en el objeto mismo.
Fuente: Control de acceso y eliminación de objetos
Ejemplos de Eliminar y Eliminar Niño:
Ejemplo uno:
Mi usuario administrador Tony no tiene ACE: Permitir acceso de eliminación en un usuario administrador de dominio llamado Hank. Tony aún podría eliminar la cuenta si tiene la ACE: Permitir eliminar usuario infantil en la unidad organizativa principal.
Ejemplo dos:
Si se establece una ACE explícita: Denegar acceso de eliminación en Hank. Tony aún podría eliminar la cuenta si tiene la ACE: Permitir eliminar usuario infantil en la unidad organizativa principal.
Y si lo revertimos: Tony termina en una ACE: Denegar eliminación de usuario secundario en la unidad organizativa principal, aún podría eliminarla si tiene Permitir eliminación explícita en una ACE en el objeto de usuario.
Entonces, con esto podemos ver que
AdminSDHolder Security Descriptorrealmente no protege a los administradores o grupos anidados en todos los escenarios.. Si vuelve a mirar la imagen de permisos efectivos, Tony no tenía derechos sobre el usuario para eliminarlos. Pero tiene la ACE: Permitir eliminar usuario infantil en la unidad organizativa principal y podrá eliminar a Hank, que es miembro del grupo de administradores de dominio.Derechos predeterminados
Ahora que hemos hablado de los derechos de acceso de eliminación, podría ser una buena idea pensar en quién tiene estos poderes predeterminados en Active Directory.Además de los más obvios como Administradores, Administradores de Dominio, Administradores de Empresa, por supuesto también tenemos los conocidos Grupo de operadores de cuentas.
Los operadores de cuentas tienen control total explícito y predeterminado sobre los objetos de usuario, computadora, grupo e InetOrgPerson. No tienen ese acceso explícito otorgado en el descriptor de seguridad AdminSDHolder, pero sí tienen un usuario, grupo, computadora e InetOrgPerson explícitos para crear/eliminar niños en unidades organizativas.Si la unidad organizativa principal de los administradores de dominio no tiene la opción explícita Denegar eliminación de usuarios secundarios, AO podrá eliminar usuarios administradores de dominio.
(Esto se puede eliminar del atributo defaultSecurityDescriptor de la clase de objeto definida en el esquema si está a la altura de la tarea)
Otro ángulo es apuntar al anidamiento de grupos, si los usuarios tienen membresía DA a través del anidamiento de grupos, simplemente elimine ese grupo y ya no serán DA.
Estas son algunas de las razones por las que quiero separar la unidad organizativa administrativa como unidad organizativa raíz para minimizar los riesgos de una delegación defectuosa.
Recursos de apoyo
Respuesta2
Creo que su idea errónea proviene de la suposición de que, dado que Domain Admins es un grupo protegido, todos sus miembros también están protegidos. Que no es el caso. Por lo tanto, AdminSDHolder no se aplica a estas cuentas.
La documentación nunca establece esto explícitamente, pero tampoco indica que los miembros de los administradores de dominio se consideren protegidos. Tampoco establece que los operadores de cuentas no puedan eliminar miembros del grupo de administradores de dominio.
Referencias: