대본
Active Directory에는 다음과 같은 예약된 백그라운드 프로세스가 있습니다.SDPropAD가 고려하는 특정 그룹(및 해당 구성원)의 특정 보안 설명자(사용 권한)를 주기적으로 확인하고 적용하는 것입니다.보호됨. 설정된 권한은 다음에 설정된 권한에서 파생됩니다.관리자SDHolderAD의 개체입니다.
이 논의의 목적을 위해 우리는 다음에 중점을 둘 것입니다.도메인 관리자.
인용하다:
... 보호된 계정 및 그룹의 권한이 AdminSDHolder 개체의 권한과 일치하지 않는 경우 보호된 계정 및 그룹의 권한은 도메인의 AdminSDHolder 개체의 권한과 일치하도록 재설정됩니다.
더 나아가,계정 운영자기본적으로 도메인의 모든 사용자/컴퓨터/그룹 개체를 관리할 수 있는 권한이 있습니다.보호된 그룹/구성원을 제외하고, 이 SDProp 프로세스로 인해.
예를 들어, 계정 운영자를 통해 도메인 관리자 계정을 수정하려고 하면접근 불가오류.
문제
첫 번째 문제:
그들은 할 수 없지만수정하다이러한 보호된 계정은 위의 프로세스에 따라계정 운영자할 수 있다하지만 삭제하세요.! 이 보호 메커니즘을 이해하면 이는 불가능합니다.
도메인 관리자 계정의 권한을 볼 때 계정 운영자는 어디에도 나열되지 않습니다. 또한 AO에 대한 효과적인 액세스 확인을 실행하면 AO가읽기 권한/속성. 모든 쓰기 및 삭제 권한이 거부되었습니다.. 이것은 예상됩니다.
보호된 계정을 삭제하는 기능은 해당 계정이 포함된 OU의 ACL에서 비롯된 것으로 보입니다. 이에 따라 Account Operators 그룹은사용자 개체 생성 및 삭제오른쪽(이 개체만), 해당 OU 내에서.
예를 들어 해당 ACE를 편집하고 삭제 권한을 제거하면 위에서 언급한 문제가 사라지고 AO는 더 이상 도메인 관리자를 삭제할 수 없습니다.
두 번째 호
위에서 언급한 것처럼 유효 권한은 AO가 객체를 삭제할 수 있다는 사실을 숨기는 것처럼 보입니다. 나는 이것을 정말로 이해하지 못한다.
답변이 필요한 질문
OU에 대한 권한이 adminSDHolder가 보호된 계정에 설정한 권한보다 우선하는 이유는 무엇입니까? 이 프로세스의 전체 목적은 보호된 계정에 적용되는 모든 특정 위임 권한을 방지하는 것입니다.보호하다그들을.
유효 액세스 탭에 OU 권한에 따라 이 계정을 삭제할 수 있는 능력이 있음이 제대로 반영되지 않는 이유는 무엇입니까?
답변1
유효 권한은 AO가 객체를 삭제할 수 있다는 사실을 숨기는 것으로 보입니다. 나는 이것을 정말로 이해하지 못한다.
나는 이것을 좋아했다보안 신원이 주제에 대해 너무 많은 게시물을 게시했기 때문에 귀하의 질문과 구체적으로 관련된 관련 부분을 참조하고 인용할 것이라고 생각했습니다.
Account Operators를 사용하는 것이 AD 도메인 환경에서 표준 관행이라면 많은 사람들이 이 사실을 알고 나면 이것이 알고 싶어할 좋은 질문이라고 생각합니다. 저는 확실히 Account Operator를 사용하여 도메인 관리자 구성원 AD 계정을 삭제하려고 시도한 적이 없지만 나는 과거에 내가 도메인 관리자였던 계정 운영자를 사용하는 환경을 지원했습니다.
이제 Active Directory의 개체 삭제와 관련된 옵션을 살펴보면 세 가지 유형의 삭제가 있음을 알 수 있습니다.
- 삭제(액세스 마스크 삭제)
- 하위 삭제(ADS_RIGHT_DS_DELETE_CHILD 액세스 마스크)
- 하위 트리 삭제(ADS_RIGHT_DS_DELETE_TREE 액세스 마스크)
그리고 여기서 흥미로워집니다. 삭제 작업을 수행할 때 시스템에서는 삭제를 허용하거나 거부하기 전에 개체와 해당 상위 개체 모두에 대한 보안 설명자를 확인합니다.
사용자에 대한 삭제 액세스 권한을 명시적으로 거부하는 ACE는 사용자가 상위 항목에 대한 하위 삭제 액세스 권한을 갖고 있는 경우 아무런 효과가 없습니다. 마찬가지로 개체 자체에 대해 DELETE 액세스가 허용되는 경우 상위 개체에 대한 자식 삭제 액세스를 거부하는 ACE를 재정의할 수 있습니다.
원천: 액세스 제어 및 객체 삭제
하위 삭제 및 삭제 예:
예 1:
내 관리 사용자 Tony에게는 Hank라는 도메인 관리 사용자에 대한 ACE: 삭제 액세스 허용 권한이 없습니다. Tony는 상위 OU에 ACE: 하위 사용자 삭제 허용이 있는 경우에도 계정을 삭제할 수 있습니다.
예제 2:
명시적 ACE: 삭제 액세스 거부가 Hank에 설정된 경우. Tony는 상위 OU에 ACE: 하위 사용자 삭제 허용이 있는 경우 계정을 삭제할 수 있습니다.
이를 반대로 하면 Tony는 상위 OU의 ACE: Deny Delete Child User에서 종료되지만, 사용자 개체의 ACE에 명시적 삭제 허용이 있는 경우 Tony는 이를 삭제할 수 있습니다.
따라서 이를 통해
AdminSDHolder Security Descriptor모든 시나리오에서 관리자 또는 중첩 그룹을 실제로 보호하지 않는다는 것을 알 수 있습니다.. 유효 권한 그림을 되돌아보면 Tony는 사용자에게 이를 삭제할 권한이 없었습니다. 그러나 그는 상위 OU에 ACE: 하위 사용자 삭제 허용을 갖고 있으며 Domain Admins 그룹의 구성원인 Hank를 삭제할 수 있습니다.기본 권리
이제 삭제 액세스 권한에 대해 이야기했을 때 Active Directory에서 이러한 기본 권한을 가진 사람이 누구인지 생각해 보는 것이 좋습니다.관리자, 도메인 관리자, 엔터프라이즈 관리자와 같은 명백한 관리자 외에도 잘 알려진 관리자도 있습니다. 계정 운영자 그룹.
계정 운영자는 사용자, 컴퓨터, 그룹 및 InetOrgPerson 개체에 대해 기본적으로 명시적인 모든 권한을 갖습니다. AdminSDHolder 보안 설명자에 부여된 명시적인 액세스 권한은 없지만 조직 단위에 대한 명시적인 하위 사용자, 그룹, 컴퓨터 및 InetOrgPerson 만들기/삭제 권한은 있습니다.도메인 관리자에 대한 상위 OU에 명시적인 하위 사용자 삭제 거부가 없는 경우 AO는 도메인 관리자 사용자를 삭제할 수 있습니다.
(작업을 수행할 수 있는 경우 스키마에 정의된 객체 클래스의 defaultSecurityDescriptor 속성에서 제거할 수 있습니다.)
또 다른 각도는 그룹 중첩을 대상으로 하는 것입니다. 사용자가 그룹 중첩을 통해 DA 멤버십을 갖고 있는 경우 해당 그룹을 삭제하면 더 이상 DA가 아닙니다.
잘못된 위임의 위험을 최소화하기 위해 관리 OU를 루트 OU로 분리하려는 몇 가지 이유는 다음과 같습니다.
지원 리소스
답변2
귀하의 오해는 Domain Admins가 보호되는 그룹이므로 모든 구성원도 보호된다는 가정에서 비롯된 것 같습니다. 그렇지 않습니다. 따라서 AdminSDHolder는 이러한 계정에 적용되지 않습니다.
문서에서는 이를 명시적으로 언급하지 않지만 도메인 관리자 구성원이 보호되는 것으로 간주된다는 내용도 명시하지 않습니다. 또한 계정 운영자가 도메인 관리자 그룹 구성원을 삭제할 수 없다고 명시되어 있지 않습니다.
참고자료: