Anhang C: Geschützte Konten und Gruppen in Active DirectoryAppendix C: Protected Accounts and Groups in Active Directory

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang C: Geschützte Konten und Gruppen in Active DirectoryAppendix C: Protected Accounts and Groups in Active Directory

Innerhalb Active Directory werden ein Standardsatz von Konten und Gruppen mit hohen Berechtigungen als geschützte Konten und Gruppen angesehen.Within Active Directory, a default set of highly privileged accounts and groups are considered protected accounts and groups. Bei den meisten Objekten in Active Directory können Delegierte Administratoren (Benutzer, die Berechtigungen zum Verwalten von Active Directory Objekten delegiert haben) die Berechtigungen für die Objekte ändern, einschließlich der Änderung von Berechtigungen, um die Gruppenmitgliedschaften zu ändern, z. b..With most objects in Active Directory, delegated administrators (users who have been delegated permissions to manage Active Directory objects) can change permissions on the objects, including changing permissions to allow themselves to change memberships of the groups, for example.

Bei geschützten Konten und Gruppen werden die Berechtigungen der Objekte jedoch über einen automatischen Prozess festgelegt und erzwungen, der sicherstellt, dass die Berechtigungen für die Objekte konsistent bleiben, auch wenn die Objekte das Verzeichnis verschieben.However, with protected accounts and groups, the objects' permissions are set and enforced via an automatic process that ensures the permissions on the objects remains consistent even if the objects are moved the directory. Auch wenn jemand die Berechtigungen eines geschützten Objekts manuell ändert, stellt dieser Vorgang sicher, dass die Berechtigungen schnell auf ihre Standardwerte zurückgegeben werden.Even if somebody manually changes a protected object's permissions, this process ensures that permissions are returned to their defaults quickly.

Geschützte GruppenProtected Groups

In der folgenden Tabelle sind die geschützten Gruppen in Active Directory aufgeführt, die nach Domänen Controller-Betriebssystem aufgeführt sind.The following table contains the protected groups in Active Directory listed by domain controller operating system.

Geschützte Konten und Gruppen in Active Directory nach Betriebs SystemProtected Accounts and Groups in Active Directory by Operating System

Windows Server 2003 RTMWindows Server 2003 RTM Windows Server 2003 SP1 und höherWindows Server 2003 SP1+ Windows Server 2012,Windows Server 2012,
Windows Server 2008 R2Windows Server 2008 R2,
WindowsServer 2008Windows Server 2008		 Windows Server 2016Windows Server 2016
Konten-OperatorenAccount Operators Konten-OperatorenAccount Operators Konten-OperatorenAccount Operators Konten-OperatorenAccount Operators
AdministratorAdministrator AdministratorAdministrator AdministratorAdministrator AdministratorAdministrator
AdministratorenAdministrators AdministratorenAdministrators AdministratorenAdministrators AdministratorenAdministrators
SicherungsoperatorenBackup Operators SicherungsoperatorenBackup Operators SicherungsoperatorenBackup Operators SicherungsoperatorenBackup Operators
ZertifikatherausgeberCert Publishers
DomänenadministratorenDomain Admins DomänenadministratorenDomain Admins DomänenadministratorenDomain Admins Domänen-AdminsDomain Admins
DomänencontrollerDomain Controllers DomänencontrollerDomain Controllers DomänencontrollerDomain Controllers DomänencontrollerDomain Controllers
OrganisationsadministratorenEnterprise Admins OrganisationsadministratorenEnterprise Admins OrganisationsadministratorenEnterprise Admins OrganisationsadministratorenEnterprise Admins
KrbtgtKrbtgt KrbtgtKrbtgt KrbtgtKrbtgt KrbtgtKrbtgt
DruckoperatorenPrint Operators DruckoperatorenPrint Operators DruckoperatorenPrint Operators DruckoperatorenPrint Operators
Read-only-DomänencontrollerRead-only Domain Controllers Read-only-DomänencontrollerRead-only Domain Controllers
ReplicatorReplicator ReplicatorReplicator ReplicatorReplicator ReplicatorReplicator
Schema-AdminsSchema Admins Schema-AdminsSchema Admins Schema-AdminsSchema Admins Schema-AdminsSchema Admins
Server-OperatorenServer Operators Server-OperatorenServer Operators Server-OperatorenServer Operators Server-OperatorenServer Operators

AdminSDHolderAdminSDHolder

Das AdminSDHolder-Objekt dient zum Bereitstellen von "Template"-Berechtigungen für die geschützten Konten und Gruppen in der Domäne.The purpose of the AdminSDHolder object is to provide "template" permissions for the protected accounts and groups in the domain. "AdminSDHolder" wird automatisch als Objekt im System Container jeder Active Directory Domäne erstellt.AdminSDHolder is automatically created as an object in the System container of every Active Directory domain. Der Pfad lautet: CN = AdminSDHolder, CN = System, DC =<domain_component>, DC =<domain_component>?.Its path is: CN=AdminSDHolder,CN=System,DC=<domain_component>,DC=<domain_component>?.

Im Gegensatz zu den meisten Objekten in der Active Directory Domäne, die sich im Besitz der Gruppe "Administratoren" befinden, gehört "AdminSDHolder" der Gruppe "Domänen-Admins".Unlike most objects in the Active Directory domain, which are owned by the Administrators group, AdminSDHolder is owned by the Domain Admins group. Standardmäßig kann EAS Änderungen an den AdminSDHolder-Objekten beliebiger Domänen vornehmen, wie die Domänen-Admins und Administratoren der Domäne.By default, EAs can make changes to any domain's AdminSDHolder object, as can the domain's Domain Admins and Administrators groups. Obwohl der Standard Besitzer von AdminSDHolder die Gruppe der Domänen-Admins der Domäne ist, können Mitglieder von Administratoren oder Organisations Administratoren den Besitz des Objekts übernehmen.Additionally, although the default owner of AdminSDHolder is the domain's Domain Admins group, members of Administrators or Enterprise Admins can take ownership of the object.

SDPROPSDProp

SDPROP ist ein Prozess, der auf dem Domänen Controller, der den PDC-Emulator (PDCE) der Domäne enthält, alle 60 Minuten (standardmäßig) ausgeführt wird.SDProp is a process that runs every 60 minutes (by default) on the domain controller that holds the domain's PDC Emulator (PDCE). SDPROP vergleicht die Berechtigungen für das AdminSDHolder-Objekt der Domäne mit den Berechtigungen für die geschützten Konten und Gruppen in der Domäne.SDProp compares the permissions on the domain's AdminSDHolder object with the permissions on the protected accounts and groups in the domain. Wenn die Berechtigungen für eines der geschützten Konten und Gruppen nicht mit den Berechtigungen für das AdminSDHolder-Objekt übereinstimmen, werden die Berechtigungen für die geschützten Konten und Gruppen so zurückgesetzt, dass Sie mit denen des AdminSDHolder-Objekts der Domäne übereinstimmen.If the permissions on any of the protected accounts and groups do not match the permissions on the AdminSDHolder object, the permissions on the protected accounts and groups are reset to match those of the domain's AdminSDHolder object.

Außerdem wird die Vererbung von Berechtigungen für geschützte Gruppen und Konten deaktiviert. Dies bedeutet, dass selbst dann, wenn die Konten und Gruppen an verschiedene Speicherorte im Verzeichnis verschoben werden, keine Berechtigungen von ihren neuen übergeordneten Objekten geerbt werden.Additionally, permissions inheritance is disabled on protected groups and accounts, which means that even if the accounts and groups are moved to different locations in the directory, they do not inherit permissions from their new parent objects. Die Vererbung ist für das AdminSDHolder-Objekt deaktiviert, sodass Berechtigungs Änderungen an den übergeordneten Objekten die Berechtigungen von AdminSDHolder nicht ändern.Inheritance is disabled on the AdminSDHolder object so that permission changes to the parent objects do not change the permissions of AdminSDHolder.

Ändern des SDPROP-IntervallsChanging SDProp Interval

Normalerweise sollten Sie das Intervall, in dem SDPROP ausgeführt wird, nicht ändern müssen, mit Ausnahme der Testzwecke.Normally, you should not need to change the interval at which SDProp runs, except for testing purposes. Wenn Sie das SDPROP-Intervall ändern müssen, verwenden Sie auf der PDCE für die Domäne regedit, um den Wert von adminsdprotectfrequency DWORD in hklm\system\currentcontrolset\services\ntds\parametershinzu zufügen oder zu ändern.If you need to change the SDProp interval, on the PDCE for the domain, use regedit to add or modify the AdminSDProtectFrequency DWORD value in HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Der Wertebereich ist in Sekunden zwischen 60 und 7200 (eine Minute bis zwei Stunden).The range of values is in seconds from 60 to 7200 (one minute to two hours). Um die Änderungen umzukehren, löschen Sie den adminsdprotectfrequency Key, der bewirkt, dass SDPROP auf das Intervall von 60 Minuten zurückgesetzt wird.To reverse the changes, delete AdminSDProtectFrequency key, which will cause SDProp to revert back to the 60 minute interval. Im Allgemeinen sollten Sie dieses Intervall nicht in Produktions Domänen reduzieren, da es den LSASS-Verarbeitungsaufwand auf dem Domänen Controller erhöhen kann.You generally should not reduce this interval in production domains as it can increase LSASS processing overhead on the domain controller. Welche Auswirkung diese Zunahme hat, hängt von der Anzahl der geschützten Objekte in der Domäne ab.The impact of this increase is dependent on the number of protected objects in the domain.

Manuelles Ausführen von SDPROPRunning SDProp Manually

Eine bessere Vorgehensweise beim Testen von AdminSDHolder-Änderungen besteht darin, SDPROP manuell auszuführen. Dies bewirkt, dass die Aufgabe sofort ausgeführt wird, die geplante Ausführung jedoch nicht beeinträchtigt wird.A better approach to testing AdminSDHolder changes is to run SDProp manually, which causes the task to run immediately but does not affect scheduled execution. Die manuelle Ausführung von SDPROP erfolgt auf Domänen Controllern unter Windows Server 2008 und älter als auf Domänen Controllern unter Windows Server 2012 oder Windows Server 2008 R2.Running SDProp manually is performed slightly differently on domain controllers running Windows Server 2008 and earlier than it is on domain controllers running Windows Server 2012 or Windows Server 2008 R2.

Prozeduren zum manuellen Ausführen von SDPROP unter älteren Betriebssystemen finden Sie in Microsoft-Support Artikel 251343, und im folgenden finden Sie Schritt-für-Schritt-Anleitungen für ältere und neuere Betriebssysteme.Procedures for running SDProp manually on older operating systems are provided in Microsoft Support article 251343, and following are step-by-step instructions for older and newer operating systems. In beiden Fällen müssen Sie eine Verbindung mit dem rootDSE-Objekt in Active Directory herstellen und einen Modify-Vorgang mit einem NULL-DN für das rootDSE-Objekt ausführen, wobei der Name des Vorgangs als zu ändernde Attribut angegeben wird.In either case, you must connect to the rootDSE object in Active Directory and perform a modify operation with a null DN for the rootDSE object, specifying the name of the operation as the attribute to modify. Weitere Informationen zu änderbaren Vorgängen für das rootDSE-Objekt finden Sie unter rootDSE -Änderungs Vorgänge auf der MSDN-Website.For more information about modifiable operations on the rootDSE object, see rootDSE Modify Operations on the MSDN website.

Manuelles Ausführen von SDPROP in Windows Server 2008 oder früherRunning SDProp Manually in Windows Server 2008 or Earlier

Sie können die Ausführung von SDPROP erzwingen, indem Sie Ldp.exe oder ein LDAP-Änderungs Skript ausführen.You can force SDProp to run by using Ldp.exe or by running an LDAP modification script. Führen Sie die folgenden Schritte aus, nachdem Sie das AdminSDHolder-Objekt in einer Domäne geändert haben, um SDPROP mithilfe von Ldp.exe auszuführen:To run SDProp using Ldp.exe, perform the following steps after you have made changes to the AdminSDHolder object in a domain:

  1. Starten Sie Ldp.exe.Launch Ldp.exe.

  2. Klicken Sie im Dialogfeld Ldp auf Verbindung , und klicken Sie auf verbinden.Click Connection on the Ldp dialog box, and click Connect.

    Screenshot, der die Menüoption "verbinden" anzeigt.

  3. Geben Sie im Dialogfeld verbinden den Namen des Domänen Controllers für die Domäne ein, in der die PDC-Emulatorrolle (PDCE) enthalten ist, und klicken Sie auf OK.In the Connect dialog box, type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role and click OK.

    Screenshot, der zeigt, wo der Name des Domänen Controllers für die Domäne, die die PDC-Emulatorrolle (PDCE) enthält, einzugeben ist.

  4. Vergewissern Sie sich, dass die Verbindung erfolgreich hergestellt wurde, wie von DN: (RootDSE) im folgenden Screenshot angegeben, klicken Sie auf Verbindung , und klicken Sie dann auf binden.Verify that you have connected successfully, as indicated by Dn: (RootDSE) in the following screenshot, click Connection and click Bind.

    Screenshot, der anzeigt, wo die Verbindung ausgewählt werden soll, und dann binden auswählen, um sicherzustellen, dass die Verbindung erfolgreich hergestellt wurde

  5. Geben Sie im Dialogfeld binden die Anmelde Informationen eines Benutzerkontos ein, das über die Berechtigung zum Ändern des RootDSE-Objekts verfügt.In the Bind dialog box, type the credentials of a user account that has permission to modify the rootDSE object. (Wenn Sie als dieser Benutzer angemeldet sind, können Sie Bind als aktuell angemeldeter Benutzer auswählen.) Klicken Sie auf OK.(If you are logged on as that user, you can select Bind as currently logged on user.) Click OK.

    Screenshot, der das Dialogfeld "binden" anzeigt.

  6. Nachdem Sie den Bindungs Vorgang abgeschlossen haben, klicken Sie auf Durchsuchen, und klicken Sie dann auf ändern.After you have completed the bind operation, click Browse, and click Modify.

    Screenshot, der die Menüoption "ändern" im Menü "Durchsuchen" anzeigt.

  7. Lassen Sie im Dialogfeld ändern das Feld DN leer.In the Modify dialog box, leave the DN field blank. Geben Sie im Feld Eingabe Attribut bearbeiten den Wert fixupvererbung ein, und geben Sie im Feld Werte den Wert Ja ein.In the Edit Entry Attribute field, type FixUpInheritance, and in the Values field, type Yes. Drücken Sie die EINGABETASTE, um die Eingabeliste aufzufüllen , wie im folgenden Screenshot gezeigt.Click Enter to populate the Entry List as shown in the following screen shot.

    Screenshot, der das Dialogfeld "ändern" anzeigt.

  8. Klicken Sie im Dialogfeld aufgefüllt ändern auf Ausführen, und überprüfen Sie, ob die Änderungen, die Sie am Objekt AdminSDHolder vorgenommen haben, in diesem Objekt angezeigt wurden.In the populated Modify dialog box, click Run, and verify that the changes you made to the AdminSDHolder object have appeared on that object.

Hinweis

Informationen zum Ändern von AdminSDHolder, sodass bestimmte nicht privilegierte Konten die Mitgliedschaft geschützter Gruppen ändern können, finden Sie unter Anhang I: Erstellen von Verwaltungs Konten für geschützte Konten und Gruppen in Active Directory.For information about modifying AdminSDHolder to allow designated unprivileged accounts to modify the membership of protected groups, see Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

Wenn Sie SDPROP lieber manuell über LDIFDE oder ein Skript ausführen möchten, können Sie einen Änderungs Eintrag erstellen, wie hier gezeigt:If you prefer to run SDProp manually via LDIFDE or a script, you can create a modify entry as shown here:

Screenshot, der zeigt, wie Sie einen Änderungs Eintrag erstellen können.

Manuelles Ausführen von SDPROP in Windows Server 2012 oder Windows Server 2008 R2Running SDProp Manually in Windows Server 2012 or Windows Server 2008 R2

Sie können auch die Ausführung von SDPROP erzwingen, indem Sie Ldp.exe oder ein LDAP-Änderungs Skript ausführen.You can also force SDProp to run by using Ldp.exe or by running an LDAP modification script. Führen Sie die folgenden Schritte aus, nachdem Sie das AdminSDHolder-Objekt in einer Domäne geändert haben, um SDPROP mithilfe von Ldp.exe auszuführen:To run SDProp using Ldp.exe, perform the following steps after you have made changes to the AdminSDHolder object in a domain:

  1. Starten Sie Ldp.exe.Launch Ldp.exe.

  2. Klicken Sie im Dialogfeld LDP auf Verbindung, und klicken Sie dann auf verbinden.In the Ldp dialog box, click Connection, and click Connect.

    Screenshot, der das Dialogfeld "Ldp" anzeigt.

  3. Geben Sie im Dialogfeld verbinden den Namen des Domänen Controllers für die Domäne ein, in der die PDC-Emulatorrolle (PDCE) enthalten ist, und klicken Sie auf OK.In the Connect dialog box, type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role and click OK.

    Screenshot, der das Dialogfeld "verbinden" anzeigt.

  4. Vergewissern Sie sich, dass die Verbindung erfolgreich hergestellt wurde, wie von DN: (RootDSE) im folgenden Screenshot angegeben, klicken Sie auf Verbindung , und klicken Sie dann auf binden.Verify that you have connected successfully, as indicated by Dn: (RootDSE) in the following screenshot, click Connection and click Bind.

    Screenshot, der die Menüoption "binden" im Menü "Verbindung" anzeigt.

  5. Geben Sie im Dialogfeld binden die Anmelde Informationen eines Benutzerkontos ein, das über die Berechtigung zum Ändern des RootDSE-Objekts verfügt.In the Bind dialog box, type the credentials of a user account that has permission to modify the rootDSE object. (Wenn Sie als dieser Benutzer angemeldet sind, können Sie Bind als aktuell angemeldeter Benutzer auswählen.) Klicken Sie auf OK.(If you are logged on as that user, you can select Bind as currently logged on user.) Click OK.

    Screenshot, der anzeigt, wo die Anmelde Informationen eines Benutzerkontos mit der Berechtigung zum Ändern des RootDSE-Objekts einzugeben sind.

  6. Nachdem Sie den Bindungs Vorgang abgeschlossen haben, klicken Sie auf Durchsuchen, und klicken Sie dann auf ändern.After you have completed the bind operation, click Browse, and click Modify.

    geschützte Konten und Gruppen

  7. Lassen Sie im Dialogfeld ändern das Feld DN leer.In the Modify dialog box, leave the DN field blank. Geben Sie im Feld Eingabe Attribut bearbeiten den Wert runprotectadmingroupstask ein, und geben Sie im Feld Werte den Wert 1 ein.In the Edit Entry Attribute field, type RunProtectAdminGroupsTask, and in the Values field, type 1. Drücken Sie die EINGABETASTE, um die Eingabeliste aufzufüllen, wie hier gezeigt.Click Enter to populate the entry list as shown here.

    Screenshot, der das Feld "Eingabe Attribut bearbeiten" anzeigt.

  8. Klicken Sie im Dialogfeld aufgefüllt ändern auf Ausführen, und überprüfen Sie, ob die Änderungen, die Sie am Objekt AdminSDHolder vorgenommen haben, in diesem Objekt angezeigt wurden.In the populated Modify dialog box, click Run, and verify that the changes you made to the AdminSDHolder object have appeared on that object.

Wenn Sie SDPROP lieber manuell über LDIFDE oder ein Skript ausführen möchten, können Sie einen Änderungs Eintrag erstellen, wie hier gezeigt:If you prefer to run SDProp manually via LDIFDE or a script, you can create a modify entry as shown here:

Screenshot, der zeigt, was zu tun ist, wenn Sie SDPROP manuell über LDIFDE oder ein Skript ausführen möchten.