設想

tag-icon tag-icon windows active-directory windows-server-2016
設想

設想

Active Directory 有一個名為的預定後台程序SDProp定期檢查並套用 AD 認為的某些群組(及其成員)的特定安全描述符(權限)受保護的。所設定的權限源自於在上設定的權限管理員SD持有者AD 中的物件。

出於本次討論的目的,我們將重點放在網域管理員

看這裡: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory

和這裡: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups#default-security-groups

引用:

...如果任何受保護帳戶和群組的權限與 AdminSDHolder 物件的權限不匹配,則受保護帳戶和群組的權限將重設為與網域的 AdminSDHolder 物件的權限相匹配

更遠,帳戶運營商預設情況下,擁有管理域中所有使用者/電腦/群組物件的權限,任何受保護群體/成員除外,由於這個 SDProp 過程。

舉個例子,嘗試使用帳戶操作員修改網域管理員帳戶會導致拒絕訪問錯誤。

問題

首要問題:

雖然他們不能調整這些受保護的帳戶,按照上述過程,帳戶運營商但是,刪除它們!根據我對這種保護機制的理解,這應該是不可能的。

查看網域管理員帳戶的權限時,帳戶操作員未在任何地方列出。此外,對 AO 運行有效的訪問檢查表明它僅具有讀取權限/屬性所有寫入和刪除權限均被拒絕。這是預料之中的。

刪除受保護帳戶的能力似乎源自於包含該帳戶的 OU 上的 ACL,因此帳戶操作員群組擁有建立和刪除使用者對象正確(僅此物件),在該 OU 內。

舉個例子,如果我編輯該 ACE 並刪除刪除權限,上述問題就會消失,且 AO 無法再刪除網域管理員。

第二期

如上所述,有效權限似乎隱藏了 AO 可以刪除物件的事實。我實在不明白這一點。

需要回答的問題

  1. 為什麼 OU 上的權限會覆蓋 adminSDHolder 在受保護帳戶上設定的權限?此過程的全部目的是防止從任何地方應用到受保護帳戶的任何特定委派權限,以便保護他們。

  2. 為什麼「有效存取」標籤沒有正確反映我有權根據 OU 權限刪除此帳戶?

答案1

有效權限似乎隱藏了 AO 可以刪除物件的事實。我實在不明白這一點。

我喜歡這個安全身分關於這個主題的帖子太多了,我想我應該參考並引用其中的相關部分,因為它與您的問題具體相關。

我認為這是一個很好的問題,一旦他們意識到這一點,如果使用帳戶操作員是他們的AD 網域環境中的標準做法,那麼他們會想知道- 我當然從未嘗試過使用帳戶操作員刪除網域管理員成員AD 帳戶,但是我過去曾支援過他們使用帳戶操作員的環境,而我是網域管理員。

現在,如果我們查看有關刪除 Active Directory 中的物件的選項,您可能會發現存在三種不同類型的刪除:

  • 刪除(刪除存取遮罩)
  • 刪除子項目(ADS_RIGHT_DS_DELETE_CHILD 存取遮罩)
  • 刪除子樹(ADS_RIGHT_DS_DELETE_TREE 存取遮罩)

這裡變得有趣了。執行刪除操作時,系統會在允許或拒絕刪除之前驗證物件及其父物件的安全描述符。

如果使用者對父級具有「刪除子級」存取權限,則明確拒絕使用者的「刪除」存取權限的 ACE 無效。同樣,如果允許對物件本身進行 DELETE 訪問,則可以覆寫拒絕對父物件進行「刪除子物件」存取的 ACE。

來源: 存取控制和物件刪除

刪除和刪除子項範例:

範例一:

我的管理員使用者 Tony 沒有 ACE:允許對名為 Hank 的網域管理員使用者進行刪除存取。如果 Tony 擁有 ACE:允許在父 OU 上刪除子用戶,他仍然可以刪除該帳戶。

範例二

如果在 Hank 上設定了明確 ACE:拒絕刪除存取權限。如果 Tony 在父 OU 上擁有 ACE:允許刪除子用戶,他仍然能夠刪除該帳戶。

如果我們反轉它:Tony 最終處於父 OU 上的 ACE:拒絕刪除子用戶中,如果他在用戶物件的 ACE 中具有明確允許刪除,他仍然可以刪除該用戶。

因此,透過此我們可以看到,並AdminSDHolder Security Descriptor不能真正在所有情況下保護管理員或嵌套群組。如果你回顧一下有效權限圖片,Tony 沒有權限刪除該使用者。但他在父 OU 上擁有 ACE:允許刪除子用戶,並且能夠刪除作為網域管理員群組成員的 Hank。

預設權利

現在,當我們討論刪除存取權限時,最好考慮一下誰在 Active Directory 中預設擁有這些權限?除了管理員、網域管理員、企業管理員等顯而易見的管理員之外,我們當然還有眾所周知的管理員 帳戶操作員群組

帳戶操作員對使用者、電腦、群組和 InetOrgPerson 物件具有預設的明確完全控制權。他們沒有在 AdminSDHolder 安全描述符上授予明確存取權限,但在組織單位上有明確建立/刪除子使用者、群組、電腦和 InetOrgPerson。如果網域管理員的父 OU 沒有明確拒絕刪除子用戶,AO 將能夠刪除網域管理員用戶。

(如果您能勝任這項任務,可以從架構中定義的物件類別的 defaultSecurityDescriptor 屬性中刪除它)

另一個角度是針對群組嵌套,如果使用者透過群組嵌套擁有 DA 成員資格,只需刪除該群組,他們將不再是 DA。

以下是我希望將管理 OU 分離為根 OU 的幾個原因,以盡量減少錯誤委派的風險。

來源

支持資源

答案2

我認為您的誤解來自這樣的假設:由於網域管理員是受保護的群組,因此它的所有成員也都受到保護。事實並非如此。因此 AdminSDHolder 不適用於這些帳戶。

該文件從未明確說明這一點,但也沒有說明網域管理員的成員被視為受保護。也沒有聲明帳戶操作員不能刪除網域管理員群組成員

參考:

相關內容