Anhang C: Geschützte Konten und Gruppen in Active Directory
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Anhang C: Geschützte Konten und Gruppen in Active Directory
In Active Directory gelten eine Standardgruppe von hoch privilegierten Konten und Gruppen als geschützte Konten und Gruppen. Bei den meisten Objekten in Active Directory können delegierte Administratoren (Benutzer, die delegierte Berechtigungen zum Verwalten von Active Directory-Objekten haben) Berechtigungen für die Objekte ändern, einschließlich änderungen von Berechtigungen, um sich selbst die Mitgliedschaften der Gruppen zu ändern.
Mit geschützten Konten und Gruppen werden die Berechtigungen der Objekte jedoch über einen automatischen Prozess festgelegt und erzwungen, der gewährleistet, dass die Berechtigungen für die Objekte konsistent bleiben, auch wenn die Objekte das Verzeichnis verschoben werden. Selbst wenn jemand die Berechtigungen eines geschützten Objekts manuell ändert, stellt dieser Prozess sicher, dass Berechtigungen schnell an ihre Standardeinstellungen zurückgegeben werden.
Geschützte Gruppen
Die folgende Tabelle enthält die geschützten Gruppen in Active Directory, die vom Domänencontrollerbetriebssystem aufgelistet sind.
Geschützte Konten und Gruppen in Active Directory nach Betriebssystem
Windows Server 2003 RTM | Windows Server 2003 SP1+ | Windows Server 2012, Windows Server 2008 R2 WindowsServer 2008 |
Windows Server 2016 |
---|---|---|---|
Konten-Operatoren | Konten-Operatoren | Konten-Operatoren | Konten-Operatoren |
Administrator | Administrator | Administrator | Administrator |
Administrators | Administrators | Administrators | Administratoren |
Sicherungsoperatoren | Sicherungsoperatoren | Sicherungsoperatoren | Sicherungsoperatoren |
Zertifikatherausgeber | |||
Domänenadministratoren | Domänenadministratoren | Domänenadministratoren | Domänen-Admins |
Domänencontroller | Domänencontroller | Domänencontroller | Domänencontroller |
Organisationsadministratoren | Organisationsadministratoren | Organisationsadministratoren | Organisationsadministratoren |
Krbtgt | Krbtgt | Krbtgt | Krbtgt |
Druckoperatoren | Druckoperatoren | Druckoperatoren | Druckoperatoren |
Read-only-Domänencontroller | Read-only-Domänencontroller | ||
Replicator | Replicator | Replicator | Replicator |
Schema-Admins | Schema-Admins | Schema-Admins | Schema-Admins |
Server-Operatoren | Server-Operatoren | Server-Operatoren | Server-Operatoren |
Adminsdholder
Der Zweck des AdminSDHolder-Objekts besteht darin, "Vorlagen"-Berechtigungen für die geschützten Konten und Gruppen in der Domäne bereitzustellen. AdminSDHolder wird automatisch als Objekt im Systemcontainer jeder Active Directory-Domäne erstellt. Der Pfad lautet: CN=AdminSDHolder,CN=System,DC=domain_component,DC>=<<domain_component>?.
Im Gegensatz zu den meisten Objekten in der Active Directory-Domäne, die der Gruppe "Administratoren" gehören, gehört AdminSDHolder der Gruppe "Domänenadministratoren". Standardmäßig können EAs Änderungen an dem AdminSDHolder-Objekt einer beliebigen Domäne vornehmen, wie die Domänenadministratoren und Administratorengruppen der Domäne. Darüber hinaus kann der Standardbesitzer von AdminSDHolder die Gruppe "Domänenadministratoren" der Domäne sein, mitglieder von Administratoren oder Enterprise-Administratoren können den Besitz des Objekts übernehmen.
SDProp
SDProp ist ein Prozess, der alle 60 Minuten (standardmäßig) auf dem Domänencontroller ausgeführt wird, der den PDC-Emulator der Domäne (PDCE) enthält. SDProp vergleicht die Berechtigungen des AdminSDHolder-Objekts der Domäne mit den Berechtigungen für die geschützten Konten und Gruppen in der Domäne. Wenn die Berechtigungen für eine der geschützten Konten und Gruppen nicht mit den Berechtigungen für das AdminSDHolder-Objekt übereinstimmen, werden die Berechtigungen für die geschützten Konten und Gruppen zurückgesetzt, um denen des AdminSDHolder-Objekts der Domäne zu entsprechen.
Darüber hinaus ist die Vererbung von Berechtigungen für geschützte Gruppen und Konten deaktiviert, was bedeutet, dass auch wenn die Konten und Gruppen an verschiedene Speicherorte im Verzeichnis verschoben werden, sie erben keine Berechtigungen aus ihren neuen übergeordneten Objekten. Die Vererbung ist im AdminSDHolder-Objekt deaktiviert, sodass Berechtigungsänderungen an den übergeordneten Objekten nicht die Berechtigungen von AdminSDHolder ändern.
Ändern des SDProp-Intervalls
Normalerweise sollten Sie das Intervall, in dem SDProp ausgeführt wird, nicht ändern müssen, außer für Testzwecke. Wenn Sie das SDProp-Intervall ändern müssen, verwenden Sie regedit für die Domäne, um den AdminSDProtectFrequency DWORD-Wert in HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters hinzuzufügen oder zu ändern.
Der Wertebereich befindet sich in Sekunden von 60 bis 7200 (eine Minute bis zwei Stunden). Um die Änderungen rückgängig zu machen, löschen Sie den Schlüssel "AdminSDProtectFrequency", der dazu führt, dass SDProp zurück zum 60-Minuten-Intervall zurückgesetzt wird. Im Allgemeinen sollten Sie dieses Intervall in Produktionsdomänen nicht verringern, da sie den Aufwand für die Verarbeitung von LSASS auf dem Domänencontroller erhöhen kann. Die Auswirkungen dieser Erhöhung sind abhängig von der Anzahl der geschützten Objekte in der Domäne.
Manuelles Ausführen von SDProp
Ein besserer Ansatz zum Testen von AdminSDHolder-Änderungen besteht darin, SDProp manuell auszuführen, wodurch die Aufgabe sofort ausgeführt wird, aber nicht auf die geplante Ausführung wirkt. Das Manuelle Ausführen von SDProp wird auf Domänencontrollern, die Windows Server 2008 ausführen, geringfügig anders ausgeführt als bei Domänencontrollern, die Windows Server 2012 oder Windows Server 2008 R2 ausführen.
Verfahren zum manuellen Ausführen von SDProp auf älteren Betriebssystemen werden im Microsoft-Supportartikel 251343 bereitgestellt, und die folgenden Schritte sind schrittweise Anweisungen für ältere und neuere Betriebssysteme. In beiden Fällen müssen Sie eine Verbindung mit dem RootDSE-Objekt in Active Directory herstellen und einen Änderungsvorgang mit einem NULL-DN für das RootDSE-Objekt ausführen, das den Namen des Vorgangs als Attribut angibt, das geändert werden soll. Weitere Informationen zu modifizierbaren Vorgängen im RootDSE-Objekt finden Sie auf der MSDN-Website unter rootDSE-Änderungsvorgänge .
Manuelles Ausführen von SDProp in Windows Server 2008 oder früher
Sie können SDProp erzwingen, indem Sie Ldp.exe verwenden oder ein LDAP-Änderungsskript ausführen. Führen Sie zum Ausführen von SDProp mit Ldp.exe die folgenden Schritte aus, nachdem Sie Änderungen an dem AdminSDHolder-Objekt in einer Domäne vorgenommen haben:
Starten SieLdp.exe.
Klicken Sie im Dialogfeld "Verbindung" auf " Verbindung ", und klicken Sie auf "Verbinden".
Geben Sie im Dialogfeld " Verbinden " den Namen des Domänencontrollers für die Domäne ein, die die PDC-Emulatorrolle (PDCE) enthält, und klicken Sie auf "OK".
Stellen Sie sicher, dass Sie erfolgreich verbunden haben, wie von Dn: (RootDSE) im folgenden Screenshot angegeben, klicken Sie auf "Verbindung ", und klicken Sie auf " Binden".
Geben Sie im Dialogfeld "Binden " die Anmeldeinformationen eines Benutzerkontos ein, das über die Berechtigung zum Ändern des RootDSE-Objekts verfügt. (Wenn Sie als dieser Benutzer angemeldet sind, können Sie "Binden" als aktuell angemeldeten Benutzer auswählen.) Klicken Sie auf "OK".
Nachdem Sie den Bindungsvorgang abgeschlossen haben, klicken Sie auf "Durchsuchen", und klicken Sie auf "Ändern".
Lassen Sie im Dialogfeld "Ändern " das Feld "DN " leer. Geben Sie im Feld "Eintragsattribut bearbeiten " fixUpInheritance und im Feld "Werte " "Ja" ein. Klicken Sie auf "EINGABETASTE ", um die Eintragsliste auffüllen zu können, wie im folgenden Screenshot dargestellt.
Klicken Sie im ausgefüllten Dialogfeld "Ändern" auf "Ausführen", und überprüfen Sie, ob die Änderungen, die Sie an das AdminSDHolder-Objekt vorgenommen haben, auf diesem Objekt angezeigt wurden.
Hinweis
Informationen zum Ändern von AdminSDHolder zum Zulassen von benannten nicht privilegierten Konten zum Ändern der Mitgliedschaft geschützter Gruppen finden Sie in Anhang I: Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active Directory.
Wenn Sie SDProp manuell über LDIFDE oder ein Skript ausführen möchten, können Sie einen Änderungseintrag wie hier gezeigt erstellen:
Manuelles Ausführen von SDProp in Windows Server 2012 oder Windows Server 2008 R2
Sie können auch SDProp erzwingen, indem Sie Ldp.exe verwenden oder ein LDAP-Änderungsskript ausführen. Führen Sie zum Ausführen von SDProp mit Ldp.exe die folgenden Schritte aus, nachdem Sie Änderungen an dem AdminSDHolder-Objekt in einer Domäne vorgenommen haben:
Starten SieLdp.exe.
Klicken Sie im Dialogfeld "LDP " auf "Verbindung", und klicken Sie auf "Verbinden".
Geben Sie im Dialogfeld " Verbinden " den Namen des Domänencontrollers für die Domäne ein, die die PDC-Emulatorrolle (PDCE) enthält, und klicken Sie auf "OK".
Stellen Sie sicher, dass Sie erfolgreich verbunden haben, wie von Dn: (RootDSE) im folgenden Screenshot angegeben, klicken Sie auf "Verbindung ", und klicken Sie auf " Binden".
Geben Sie im Dialogfeld "Binden " die Anmeldeinformationen eines Benutzerkontos ein, das über die Berechtigung zum Ändern des RootDSE-Objekts verfügt. (Wenn Sie als dieser Benutzer angemeldet sind, können Sie "Binden" als aktuell angemeldeten Benutzer auswählen.) Klicken Sie auf "OK".
Nachdem Sie den Bindungsvorgang abgeschlossen haben, klicken Sie auf "Durchsuchen", und klicken Sie auf "Ändern".
Lassen Sie im Dialogfeld "Ändern " das Feld "DN " leer. Geben Sie im Feld "Eintragsattribut bearbeiten " "RunProtectAdminGroupsTask" und im Feld "Werte " den Wert "1" ein. Klicken Sie auf "EINGABETASTE ", um die Eintragsliste wie hier dargestellt aufzufüllen.
Klicken Sie im ausgefüllten Dialogfeld " Ändern " auf "Ausführen", und überprüfen Sie, ob die Änderungen, die Sie an das AdminSDHolder-Objekt vorgenommen haben, auf diesem Objekt angezeigt wurden.
Wenn Sie SDProp manuell über LDIFDE oder ein Skript ausführen möchten, können Sie einen Änderungseintrag wie hier gezeigt erstellen: