Anhang C: Geschützte Konten und Gruppen in Active Directory

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang C: Geschützte Konten und Gruppen in Active Directory

In Active Directory gelten eine Standardgruppe von hoch privilegierten Konten und Gruppen als geschützte Konten und Gruppen. Bei den meisten Objekten in Active Directory können delegierte Administratoren (Benutzer, die delegierte Berechtigungen zum Verwalten von Active Directory-Objekten haben) Berechtigungen für die Objekte ändern, einschließlich änderungen von Berechtigungen, um sich selbst die Mitgliedschaften der Gruppen zu ändern.

Mit geschützten Konten und Gruppen werden die Berechtigungen der Objekte jedoch über einen automatischen Prozess festgelegt und erzwungen, der gewährleistet, dass die Berechtigungen für die Objekte konsistent bleiben, auch wenn die Objekte das Verzeichnis verschoben werden. Selbst wenn jemand die Berechtigungen eines geschützten Objekts manuell ändert, stellt dieser Prozess sicher, dass Berechtigungen schnell an ihre Standardeinstellungen zurückgegeben werden.

Geschützte Gruppen

Die folgende Tabelle enthält die geschützten Gruppen in Active Directory, die vom Domänencontrollerbetriebssystem aufgelistet sind.

Geschützte Konten und Gruppen in Active Directory nach Betriebssystem

Windows Server 2003 RTM Windows Server 2003 SP1+ Windows Server 2012,
Windows Server 2008 R2
WindowsServer 2008
Windows Server 2016
Konten-Operatoren Konten-Operatoren Konten-Operatoren Konten-Operatoren
Administrator Administrator Administrator Administrator
Administrators Administrators Administrators Administratoren
Sicherungsoperatoren Sicherungsoperatoren Sicherungsoperatoren Sicherungsoperatoren
Zertifikatherausgeber
Domänenadministratoren Domänenadministratoren Domänenadministratoren Domänen-Admins
Domänencontroller Domänencontroller Domänencontroller Domänencontroller
Organisationsadministratoren Organisationsadministratoren Organisationsadministratoren Organisationsadministratoren
Krbtgt Krbtgt Krbtgt Krbtgt
Druckoperatoren Druckoperatoren Druckoperatoren Druckoperatoren
Read-only-Domänencontroller Read-only-Domänencontroller
Replicator Replicator Replicator Replicator
Schema-Admins Schema-Admins Schema-Admins Schema-Admins
Server-Operatoren Server-Operatoren Server-Operatoren Server-Operatoren

Adminsdholder

Der Zweck des AdminSDHolder-Objekts besteht darin, "Vorlagen"-Berechtigungen für die geschützten Konten und Gruppen in der Domäne bereitzustellen. AdminSDHolder wird automatisch als Objekt im Systemcontainer jeder Active Directory-Domäne erstellt. Der Pfad lautet: CN=AdminSDHolder,CN=System,DC=domain_component,DC>=<<domain_component>?.

Im Gegensatz zu den meisten Objekten in der Active Directory-Domäne, die der Gruppe "Administratoren" gehören, gehört AdminSDHolder der Gruppe "Domänenadministratoren". Standardmäßig können EAs Änderungen an dem AdminSDHolder-Objekt einer beliebigen Domäne vornehmen, wie die Domänenadministratoren und Administratorengruppen der Domäne. Darüber hinaus kann der Standardbesitzer von AdminSDHolder die Gruppe "Domänenadministratoren" der Domäne sein, mitglieder von Administratoren oder Enterprise-Administratoren können den Besitz des Objekts übernehmen.

SDProp

SDProp ist ein Prozess, der alle 60 Minuten (standardmäßig) auf dem Domänencontroller ausgeführt wird, der den PDC-Emulator der Domäne (PDCE) enthält. SDProp vergleicht die Berechtigungen des AdminSDHolder-Objekts der Domäne mit den Berechtigungen für die geschützten Konten und Gruppen in der Domäne. Wenn die Berechtigungen für eine der geschützten Konten und Gruppen nicht mit den Berechtigungen für das AdminSDHolder-Objekt übereinstimmen, werden die Berechtigungen für die geschützten Konten und Gruppen zurückgesetzt, um denen des AdminSDHolder-Objekts der Domäne zu entsprechen.

Darüber hinaus ist die Vererbung von Berechtigungen für geschützte Gruppen und Konten deaktiviert, was bedeutet, dass auch wenn die Konten und Gruppen an verschiedene Speicherorte im Verzeichnis verschoben werden, sie erben keine Berechtigungen aus ihren neuen übergeordneten Objekten. Die Vererbung ist im AdminSDHolder-Objekt deaktiviert, sodass Berechtigungsänderungen an den übergeordneten Objekten nicht die Berechtigungen von AdminSDHolder ändern.

Ändern des SDProp-Intervalls

Normalerweise sollten Sie das Intervall, in dem SDProp ausgeführt wird, nicht ändern müssen, außer für Testzwecke. Wenn Sie das SDProp-Intervall ändern müssen, verwenden Sie regedit für die Domäne, um den AdminSDProtectFrequency DWORD-Wert in HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters hinzuzufügen oder zu ändern.

Der Wertebereich befindet sich in Sekunden von 60 bis 7200 (eine Minute bis zwei Stunden). Um die Änderungen rückgängig zu machen, löschen Sie den Schlüssel "AdminSDProtectFrequency", der dazu führt, dass SDProp zurück zum 60-Minuten-Intervall zurückgesetzt wird. Im Allgemeinen sollten Sie dieses Intervall in Produktionsdomänen nicht verringern, da sie den Aufwand für die Verarbeitung von LSASS auf dem Domänencontroller erhöhen kann. Die Auswirkungen dieser Erhöhung sind abhängig von der Anzahl der geschützten Objekte in der Domäne.

Manuelles Ausführen von SDProp

Ein besserer Ansatz zum Testen von AdminSDHolder-Änderungen besteht darin, SDProp manuell auszuführen, wodurch die Aufgabe sofort ausgeführt wird, aber nicht auf die geplante Ausführung wirkt. Das Manuelle Ausführen von SDProp wird auf Domänencontrollern, die Windows Server 2008 ausführen, geringfügig anders ausgeführt als bei Domänencontrollern, die Windows Server 2012 oder Windows Server 2008 R2 ausführen.

Verfahren zum manuellen Ausführen von SDProp auf älteren Betriebssystemen werden im Microsoft-Supportartikel 251343 bereitgestellt, und die folgenden Schritte sind schrittweise Anweisungen für ältere und neuere Betriebssysteme. In beiden Fällen müssen Sie eine Verbindung mit dem RootDSE-Objekt in Active Directory herstellen und einen Änderungsvorgang mit einem NULL-DN für das RootDSE-Objekt ausführen, das den Namen des Vorgangs als Attribut angibt, das geändert werden soll. Weitere Informationen zu modifizierbaren Vorgängen im RootDSE-Objekt finden Sie auf der MSDN-Website unter rootDSE-Änderungsvorgänge .

Manuelles Ausführen von SDProp in Windows Server 2008 oder früher

Sie können SDProp erzwingen, indem Sie Ldp.exe verwenden oder ein LDAP-Änderungsskript ausführen. Führen Sie zum Ausführen von SDProp mit Ldp.exe die folgenden Schritte aus, nachdem Sie Änderungen an dem AdminSDHolder-Objekt in einer Domäne vorgenommen haben:

  1. Starten SieLdp.exe.

  2. Klicken Sie im Dialogfeld "Verbindung" auf " Verbindung ", und klicken Sie auf "Verbinden".

    Screenshot that shows the Connect menu option.

  3. Geben Sie im Dialogfeld " Verbinden " den Namen des Domänencontrollers für die Domäne ein, die die PDC-Emulatorrolle (PDCE) enthält, und klicken Sie auf "OK".

    Screenshot that shows where to type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role.

  4. Stellen Sie sicher, dass Sie erfolgreich verbunden haben, wie von Dn: (RootDSE) im folgenden Screenshot angegeben, klicken Sie auf "Verbindung ", und klicken Sie auf " Binden".

    Screenshot that shows where to select Connection and then select Bind to verify that you have connected successfully.

  5. Geben Sie im Dialogfeld "Binden " die Anmeldeinformationen eines Benutzerkontos ein, das über die Berechtigung zum Ändern des RootDSE-Objekts verfügt. (Wenn Sie als dieser Benutzer angemeldet sind, können Sie "Binden" als aktuell angemeldeten Benutzer auswählen.) Klicken Sie auf "OK".

    Screenshot that shows the Bind dialog box.

  6. Nachdem Sie den Bindungsvorgang abgeschlossen haben, klicken Sie auf "Durchsuchen", und klicken Sie auf "Ändern".

    Screenshot that shows the Modify menu option in the Browse menu.

  7. Lassen Sie im Dialogfeld "Ändern " das Feld "DN " leer. Geben Sie im Feld "Eintragsattribut bearbeiten " fixUpInheritance und im Feld "Werte " "Ja" ein. Klicken Sie auf "EINGABETASTE ", um die Eintragsliste auffüllen zu können, wie im folgenden Screenshot dargestellt.

    Screenshot that shows the Modify dialog box.

  8. Klicken Sie im ausgefüllten Dialogfeld "Ändern" auf "Ausführen", und überprüfen Sie, ob die Änderungen, die Sie an das AdminSDHolder-Objekt vorgenommen haben, auf diesem Objekt angezeigt wurden.

Hinweis

Informationen zum Ändern von AdminSDHolder zum Zulassen von benannten nicht privilegierten Konten zum Ändern der Mitgliedschaft geschützter Gruppen finden Sie in Anhang I: Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active Directory.

Wenn Sie SDProp manuell über LDIFDE oder ein Skript ausführen möchten, können Sie einen Änderungseintrag wie hier gezeigt erstellen:

Screenshot that shows how you can create a modify entry.

Manuelles Ausführen von SDProp in Windows Server 2012 oder Windows Server 2008 R2

Sie können auch SDProp erzwingen, indem Sie Ldp.exe verwenden oder ein LDAP-Änderungsskript ausführen. Führen Sie zum Ausführen von SDProp mit Ldp.exe die folgenden Schritte aus, nachdem Sie Änderungen an dem AdminSDHolder-Objekt in einer Domäne vorgenommen haben:

  1. Starten SieLdp.exe.

  2. Klicken Sie im Dialogfeld "LDP " auf "Verbindung", und klicken Sie auf "Verbinden".

    Screenshot that shows the Ldp dialog box.

  3. Geben Sie im Dialogfeld " Verbinden " den Namen des Domänencontrollers für die Domäne ein, die die PDC-Emulatorrolle (PDCE) enthält, und klicken Sie auf "OK".

    Screenshot that shows the Connect dialog box.

  4. Stellen Sie sicher, dass Sie erfolgreich verbunden haben, wie von Dn: (RootDSE) im folgenden Screenshot angegeben, klicken Sie auf "Verbindung ", und klicken Sie auf " Binden".

    Screenshot that shows the Bind menu option on the Connection menu.

  5. Geben Sie im Dialogfeld "Binden " die Anmeldeinformationen eines Benutzerkontos ein, das über die Berechtigung zum Ändern des RootDSE-Objekts verfügt. (Wenn Sie als dieser Benutzer angemeldet sind, können Sie "Binden" als aktuell angemeldeten Benutzer auswählen.) Klicken Sie auf "OK".

    Screenshot that shows where to type the credentials of a user account that has permission to modify the rootDSE object.

  6. Nachdem Sie den Bindungsvorgang abgeschlossen haben, klicken Sie auf "Durchsuchen", und klicken Sie auf "Ändern".

    protected accounts and groups

  7. Lassen Sie im Dialogfeld "Ändern " das Feld "DN " leer. Geben Sie im Feld "Eintragsattribut bearbeiten " "RunProtectAdminGroupsTask" und im Feld "Werte " den Wert "1" ein. Klicken Sie auf "EINGABETASTE ", um die Eintragsliste wie hier dargestellt aufzufüllen.

    Screenshot that shows the Edit Entry Attribute field.

  8. Klicken Sie im ausgefüllten Dialogfeld " Ändern " auf "Ausführen", und überprüfen Sie, ob die Änderungen, die Sie an das AdminSDHolder-Objekt vorgenommen haben, auf diesem Objekt angezeigt wurden.

Wenn Sie SDProp manuell über LDIFDE oder ein Skript ausführen möchten, können Sie einen Änderungseintrag wie hier gezeigt erstellen:

Screenshot that shows what to do if you prefer to run SDProp manually via LDIFDE or a script.