Anexo C: cuentas protegidas y grupos de Active Directory

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Anexo C: cuentas protegidas y grupos de Active Directory

Dentro Active Directory, un conjunto predeterminado de cuentas y grupos con privilegios elevados se considera cuentas y grupos protegidos. Con la mayoría de los objetos de Active Directory, los administradores delegados (usuarios a los que se han delegado permisos para administrar objetos Active Directory) pueden cambiar los permisos de los objetos, incluido el cambio de permisos para permitirse cambiar la pertenencia a los grupos, por ejemplo.

Sin embargo, con las cuentas y grupos protegidos, los permisos de los objetos se establecen y aplican a través de un proceso automático que garantiza que los permisos en los objetos permanecen coherentes incluso si los objetos se mueven al directorio. Incluso si alguien cambia manualmente los permisos de un objeto protegido, este proceso garantiza que los permisos se devuelvan rápidamente a sus valores predeterminados.

Grupos protegidos

La tabla siguiente contiene los grupos protegidos de Active Directory enumera el sistema operativo del controlador de dominio.

Cuentas y grupos protegidos en Active Directory sistema operativo

Windows Server 2003 RTM Windows Server 2003 SP1+ Windows Server 2012,
Windows Server 2008 R2,
Windows Server 2008
Windows Server 2016
Operadores de cuentas Operadores de cuentas Operadores de cuentas Operadores de cuentas
Administrador Administrador Administrador Administrador
Administradores Administradores Administradores Administradores
Operadores de copias de seguridad Operadores de copia de seguridad Operadores de copia de seguridad Operadores de copia de seguridad
Publicadores de certificados
Administradores de dominio Administradores de dominio Administradores de dominio Admins. del dominio
Controladores de dominio Controladores de dominio Controladores de dominio Controladores de dominio
Administradores de empresas Administradores de empresas Administradores de empresas Administradores de empresas
Krbtgt Krbtgt Krbtgt Krbtgt
Operadores de impresión Operadores de impresión Operadores de impresión Operadores de impresión
Controladores de dominio de solo lectura Controladores de dominio de solo lectura
Duplicadores Duplicadores Duplicadores Duplicadores
Administradores de esquema Administradores de esquema Administradores de esquema Administradores de esquema
Operadores de servidores Operadores de servidores Operadores de servidores Operadores de servidores

AdminSDHolder

El propósito del objeto AdminSDHolder es proporcionar permisos de "plantilla" para las cuentas y grupos protegidos del dominio. AdminSDHolder se crea automáticamente como un objeto en el contenedor System de cada Active Directory dominio. Su ruta de acceso es: CN=AdminSDHolder,CN=System,DC= domain_component > , DC= domain_component <> ?.

A diferencia de la mayoría de los Active Directory del dominio, que pertenecen al grupo Administradores, AdminSDHolder pertenece al grupo Administradores de dominio. De forma predeterminada, los administradores de dominio pueden realizar cambios en el objeto AdminSDHolder de cualquier dominio, al igual que los grupos Administradores y administradores del dominio. Además, aunque el propietario predeterminado de AdminSDHolder es el grupo Administradores de dominio del dominio, los miembros de administradores o administradores de Enterprise pueden tomar posesión del objeto.

SDProp

SDProp es un proceso que se ejecuta cada 60 minutos (de forma predeterminada) en el controlador de dominio que contiene el PDC del Emulator (PDCE). SDProp compara los permisos en el objeto AdminSDHolder del dominio con los permisos de las cuentas y grupos protegidos del dominio. Si los permisos de cualquiera de las cuentas y grupos protegidos no coinciden con los permisos del objeto AdminSDHolder, los permisos de las cuentas y grupos protegidos se restablecen para que coincidan con los del objeto AdminSDHolder del dominio.

Además, la herencia de permisos está deshabilitada en cuentas y grupos protegidos, lo que significa que incluso si las cuentas y los grupos se mueven a diferentes ubicaciones del directorio, no heredan permisos de sus nuevos objetos primarios. La herencia está deshabilitada en el objeto AdminSDHolder para que los cambios de permisos en los objetos primarios no cambien los permisos de AdminSDHolder.

Cambiar el intervalo sdprop

Normalmente, no debe cambiar el intervalo en el que se ejecuta SDProp, excepto con fines de prueba. Si necesita cambiar el intervalo de SDProp, en el PDCE del dominio, use regedit para agregar o modificar el valor DWORD AdminSDProtectFrequency en HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

El intervalo de valores está en segundos de 60 a 7200 (de un minuto a dos horas). Para invertir los cambios, elimine la clave AdminSDProtectFrequency, lo que hará que SDProp vuelva al intervalo de 60 minutos. Por lo general, no debe reducir este intervalo en dominios de producción, ya que puede aumentar la sobrecarga de procesamiento de LSASS en el controlador de dominio. El impacto de este aumento depende del número de objetos protegidos en el dominio.

Ejecución manual de SDProp

Un mejor enfoque para probar los cambios de AdminSDHolder es ejecutar SDProp manualmente, lo que hace que la tarea se ejecute inmediatamente, pero no afecta a la ejecución programada. La ejecución manual de SDProp se realiza de forma ligeramente diferente en los controladores de dominio que ejecutan Windows Server 2008 y anteriores a los controladores de dominio que ejecutan Windows Server 2012 o Windows Server 2008 R2.

Los procedimientos para ejecutar SDProp manualmente en sistemas operativos anteriores se proporcionan en el artículo Soporte técnico de Microsoft 251343y a continuación se proporcionan instrucciones paso a paso para sistemas operativos más antiguos y más recientes. En cualquier caso, debe conectarse al objeto rootDSE en Active Directory y realizar una operación de modificación con un DN nulo para el objeto rootDSE, especificando el nombre de la operación como atributo que se va a modificar. Para obtener más información sobre las operaciones modificables en el objeto rootDSE, vea rootDSE Modify Operations (Operaciones de modificación de rootDSE) en el sitio web de MSDN.

Ejecución manual de SDProp en Windows Server 2008 o versiones anteriores

Puede forzar la ejecución de SDProp mediante Ldp.exe o mediante la ejecución de un script de modificación ldap. Para ejecutar SDProp mediante Ldp.exe, realice los pasos siguientes después de realizar cambios en el objeto AdminSDHolder en un dominio:

  1. Inicie Ldp.exe.

  2. Haga clic en Conexión en el cuadro de diálogo Ldp y haga clic Conectar.

    Screenshot that shows the Connect menu option.

  3. En el Conectar, escriba el nombre del controlador de dominio para el dominio que contiene el rol PDC Emulator (PDCE) y haga clic en Aceptar.

    Screenshot that shows where to type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role.

  4. Compruebe que se ha conectado correctamente, como indica Dn: (RootDSE) en la captura de pantalla siguiente, haga clic en Conexión y haga clic en Enlazar.

    Screenshot that shows where to select Connection and then select Bind to verify that you have connected successfully.

  5. En el cuadro de diálogo Enlazar, escriba las credenciales de una cuenta de usuario que tenga permiso para modificar el objeto rootDSE. (Si ha iniciado sesión como ese usuario, puede seleccionar Enlazar como usuario que ha iniciado sesión actualmente). Haga clic en OK.

    Screenshot that shows the Bind dialog box.

  6. Cuando haya completado la operación de enlace, haga clic en Examinary en Modificar.

    Screenshot that shows the Modify menu option in the Browse menu.

  7. En el cuadro de diálogo Modificar , deje el campo DN en blanco. En el campo Editar atributo de entrada, escriba FixUpInheritancey, en el campo Valores, escriba Sí. Haga clic en Entrar para rellenar la lista de entradas como se muestra en la siguiente captura de pantalla.

    Screenshot that shows the Modify dialog box.

  8. En el cuadro de diálogo Modificar rellenado, haga clic en Ejecutary compruebe que los cambios realizados en el objeto AdminSDHolder han aparecido en ese objeto.

Nota

Para obtener información sobre cómo modificar AdminSDHolder para permitir que las cuentas designadas sin privilegios modifiquen la pertenencia de grupos protegidos, vea Apéndice I:Creación de cuentas de administración para cuentas y grupos protegidos en Active Directory .

Si prefiere ejecutar SDProp manualmente a través de LDIFDE o un script, puede crear una entrada de modificación como se muestra aquí:

Screenshot that shows how you can create a modify entry.

Ejecución manual de SDProp en Windows Server 2012 o Windows Server 2008 R2

También puede forzar la ejecución de SDProp mediante Ldp.exe o mediante la ejecución de un script de modificación ldap. Para ejecutar SDProp mediante Ldp.exe, realice los pasos siguientes después de realizar cambios en el objeto AdminSDHolder en un dominio:

  1. Inicie Ldp.exe.

  2. En el cuadro de diálogo Ldp , haga clic en Conexióny haga clic Conectar.

    Screenshot that shows the Ldp dialog box.

  3. En el Conectar, escriba el nombre del controlador de dominio para el dominio que contiene el rol PDC Emulator (PDCE) y haga clic en Aceptar.

    Screenshot that shows the Connect dialog box.

  4. Compruebe que se ha conectado correctamente, como indica Dn: (RootDSE) en la captura de pantalla siguiente, haga clic en Conexión y haga clic en Enlazar.

    Screenshot that shows the Bind menu option on the Connection menu.

  5. En el cuadro de diálogo Enlazar, escriba las credenciales de una cuenta de usuario que tenga permiso para modificar el objeto rootDSE. (Si ha iniciado sesión como ese usuario, puede seleccionar Enlazar como usuario que ha iniciado sesión actualmente). Haga clic en OK.

    Screenshot that shows where to type the credentials of a user account that has permission to modify the rootDSE object.

  6. Cuando haya completado la operación de enlace, haga clic en Examinary en Modificar.

    protected accounts and groups

  7. En el cuadro de diálogo Modificar , deje el campo DN en blanco. En el campo Editar atributo de entrada, escriba RunProtectAdminGroupsTasky, en el campo Valores,escriba 1. Haga clic en Entrar para rellenar la lista de entradas como se muestra aquí.

    Screenshot that shows the Edit Entry Attribute field.

  8. En el cuadro de diálogo Modificar rellenado, haga clic en Ejecutar y compruebe que los cambios realizados en el objeto AdminSDHolder han aparecido en ese objeto.

Si prefiere ejecutar SDProp manualmente a través de LDIFDE o un script, puede crear una entrada de modificación como se muestra aquí:

Screenshot that shows what to do if you prefer to run SDProp manually via LDIFDE or a script.