Annexe C : Comptes protégés et groupes dans Active Directory

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Annexe C : Comptes protégés et groupes dans Active Directory

Dans Active Directory, un ensemble par défaut de comptes et de groupes à privilèges élevés est considéré comme des groupes et des comptes protégés. Avec la plupart des objets dans Active Directory, les administrateurs délégués (les utilisateurs qui ont été délégués des autorisations pour gérer des objets Active Directory) peuvent modifier les autorisations sur les objets, notamment modifier les autorisations pour autoriser la modification des appartenances aux groupes, par exemple.

Toutefois, avec des comptes et des groupes protégés, les autorisations des objets sont définies et appliquées via un processus automatique qui garantit que les autorisations sur les objets restent cohérentes même si les objets sont déplacés dans le répertoire. Même si une personne modifie manuellement les autorisations d’un objet protégé, ce processus garantit que les autorisations sont retournées rapidement à leurs valeurs par défaut.

Groupes protégés

Le tableau suivant contient les groupes protégés dans Active Directory listés par le système d’exploitation du contrôleur de domaine.

Comptes et groupes protégés dans Active Directory par système d’exploitation

Windows Server 2003 RTM Windows Server 2003 SP1 + Windows Server 2012,
Windows Server 2008 R2,
Windows Server 2008
Windows Server 2016
Opérateurs de compte Opérateurs de compte Opérateurs de compte Opérateurs de compte
Administrateur Administrateur Administrateur Administrateur
Administrateurs Administrateurs Administrateurs Administrateurs
Opérateurs de sauvegarde Opérateurs de sauvegarde Opérateurs de sauvegarde Opérateurs de sauvegarde
Éditeurs de certificats
Admins du domaine Admins du domaine Admins du domaine Administrateurs du domaine
Contrôleurs de domaine Contrôleurs de domaine Contrôleurs de domaine Contrôleurs de domaine
Administrateurs de l’entreprise Administrateurs de l’entreprise Administrateurs de l’entreprise Administrateurs de l’entreprise
Krbtgt Krbtgt Krbtgt Krbtgt
Opérateurs d'impression Opérateurs d'impression Opérateurs d'impression Opérateurs d'impression
Contrôleurs de domaine en lecture seule Contrôleurs de domaine en lecture seule
Duplicateur Duplicateur Duplicateur Duplicateur
Administrateurs du schéma Administrateurs du schéma Administrateurs du schéma Administrateurs du schéma
Opérateurs de serveur Opérateurs de serveur Opérateurs de serveur Opérateurs de serveur

AdminSDHolder

L’objectif de l’objet AdminSDHolder est de fournir des autorisations « template » pour les comptes et les groupes protégés dans le domaine. AdminSDHolder est automatiquement créé en tant qu’objet dans le conteneur système de chaque Active Directory domaine. Son chemin d’accès est : CN = AdminSDHolder, CN = System, DC = domain_component > , DC = < domain_component > ?.

Contrairement à la plupart des objets du domaine Active Directory, qui sont détenus par le groupe administrateurs, AdminSDHolder appartient au groupe Admins du domaine. Par défaut, EAs peut apporter des modifications à l’objet AdminSDHolder d’un domaine, tout comme les groupes Admins du domaine et administrateurs du domaine. en outre, bien que le propriétaire par défaut de AdminSDHolder soit le groupe admins du domaine du domaine, les membres d’administrateurs ou de Enterprise administrateurs peuvent prendre possession de l’objet.

SDProp

SDProp est un processus qui s’exécute toutes les 60 minutes (par défaut) sur le contrôleur de domaine qui contient le contrôleur de domaine principal du domaine Emulator (émulateur). SDProp compare les autorisations sur l’objet AdminSDHolder du domaine avec les autorisations sur les comptes et les groupes protégés dans le domaine. Si les autorisations sur l’un des comptes et groupes protégés ne correspondent pas aux autorisations sur l’objet AdminSDHolder, les autorisations sur les comptes et les groupes protégés sont réinitialisées pour correspondre à celles de l’objet AdminSDHolder du domaine.

En outre, l’héritage des autorisations est désactivé sur les groupes et les comptes protégés, ce qui signifie que même si les comptes et les groupes sont déplacés vers des emplacements différents dans l’annuaire, ils n’héritent pas des autorisations de leurs nouveaux objets parents. L’héritage est désactivé sur l’objet AdminSDHolder afin que les modifications apportées aux autorisations des objets parents ne modifient pas les autorisations de AdminSDHolder.

Modification de l’intervalle de SDProp

Normalement, vous ne devez pas modifier l’intervalle auquel SDProp s’exécute, sauf à des fins de test. Si vous devez modifier l’intervalle SDProp, sur le émulateur du domaine, utilisez regedit pour ajouter ou modifier la valeur DWORD AdminSDProtectFrequency dans HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

La plage de valeurs est en secondes comprise entre 60 et 7200 (une minute à deux heures). Pour annuler les modifications, supprimez la clé AdminSDProtectFrequency, ce qui entraîne la restauration de SDProp à l’intervalle de 60 minutes. En général, vous ne devez pas réduire cet intervalle dans les domaines de production, car cela peut augmenter la charge de traitement LSASS sur le contrôleur de domaine. L’impact de cette augmentation dépend du nombre d’objets protégés dans le domaine.

Exécution manuelle de SDProp

Une meilleure approche pour tester les modifications de AdminSDHolder consiste à exécuter SDProp manuellement, ce qui entraîne l’exécution immédiate de la tâche, mais n’affecte pas l’exécution planifiée. l’exécution manuelle de SDProp s’effectue légèrement différemment sur les contrôleurs de domaine exécutant Windows server 2008 et antérieurs sur les contrôleurs de domaine exécutant Windows Server 2012 ou Windows server 2008 R2.

Les procédures d’exécution manuelle de SDProp sur des systèmes d’exploitation plus anciens sont fournies dans support Microsoft article 251343, et les instructions suivantes sont des instructions pas à pas pour les systèmes d’exploitation plus anciens et plus récents. Dans les deux cas, vous devez vous connecter à l’objet rootDSE dans Active Directory et effectuer une opération de modification avec un DN null pour l’objet rootDSE, en spécifiant le nom de l’opération comme attribut à modifier. Pour plus d’informations sur les opérations modifiables sur l’objet rootDSE, consultez opérations de modification RootDSE sur le site Web MSDN.

exécution manuelle de SDProp dans Windows Server 2008 ou version antérieure

Vous pouvez forcer l’exécution de SDProp à l’aide de Ldp.exe ou en exécutant un script de modification LDAP. Pour exécuter SDProp à l’aide de Ldp.exe, procédez comme suit après avoir apporté des modifications à l’objet AdminSDHolder dans un domaine :

  1. Lancez Ldp.exe.

  2. Cliquez sur connexion dans la boîte de dialogue Ldp, puis cliquez sur connecter.

    Screenshot that shows the Connect menu option.

  3. dans la boîte de dialogue Connecter , tapez le nom du contrôleur de domaine pour le domaine qui détient le rôle PDC Emulator (émulateur), puis cliquez sur OK.

    Screenshot that shows where to type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role.

  4. Vérifiez que vous êtes connecté avec succès, comme indiqué par DN : (RootDSE) dans la capture d’écran suivante, cliquez sur connexion , puis sur lier.

    Screenshot that shows where to select Connection and then select Bind to verify that you have connected successfully.

  5. Dans la boîte de dialogue lier , tapez les informations d’identification d’un compte d’utilisateur qui a l’autorisation de modifier l’objet rootDSE. (Si vous êtes connecté en tant qu’utilisateur, vous pouvez sélectionner lier comme utilisateur actuellement connecté.) Cliquez sur OK.

    Screenshot that shows the Bind dialog box.

  6. Une fois l’opération de liaison terminée, cliquez sur Parcourir, puis sur modifier.

    Screenshot that shows the Modify menu option in the Browse menu.

  7. Dans la boîte de dialogue modifier , laissez le champ DN vide. Dans le champ modifier l’attribut d’entrée , tapez FixUpInheritance, puis, dans le champ valeurs , tapez Oui. Cliquez sur entrée pour remplir la liste d’entrées comme indiqué dans la capture d’écran suivante.

    Screenshot that shows the Modify dialog box.

  8. Dans la boîte de dialogue modification remplie, cliquez sur Exécuter, puis vérifiez que les modifications que vous avez apportées à l’objet AdminSDHolder sont apparues sur cet objet.

Notes

Pour plus d’informations sur la modification de AdminSDHolder pour permettre aux comptes non privilégiés désignés de modifier l’appartenance aux groupes protégés, consultez l’annexe I : création de comptes de gestion pour les comptes et groupes protégés dans Active Directory.

Si vous préférez exécuter SDProp manuellement via LDIFDE ou un script, vous pouvez créer une entrée de modification comme indiqué ici :

Screenshot that shows how you can create a modify entry.

exécution manuelle de SDProp dans Windows Server 2012 ou Windows Server 2008 R2

Vous pouvez également forcer l’exécution de SDProp à l’aide de Ldp.exe ou en exécutant un script de modification LDAP. Pour exécuter SDProp à l’aide de Ldp.exe, procédez comme suit après avoir apporté des modifications à l’objet AdminSDHolder dans un domaine :

  1. Lancez Ldp.exe.

  2. Dans la boîte de dialogue LDP , cliquez sur connexion, puis sur connecter.

    Screenshot that shows the Ldp dialog box.

  3. dans la boîte de dialogue Connecter , tapez le nom du contrôleur de domaine pour le domaine qui détient le rôle PDC Emulator (émulateur), puis cliquez sur OK.

    Screenshot that shows the Connect dialog box.

  4. Vérifiez que vous êtes connecté avec succès, comme indiqué par DN : (RootDSE) dans la capture d’écran suivante, cliquez sur connexion , puis sur lier.

    Screenshot that shows the Bind menu option on the Connection menu.

  5. Dans la boîte de dialogue lier , tapez les informations d’identification d’un compte d’utilisateur qui a l’autorisation de modifier l’objet rootDSE. (Si vous êtes connecté en tant qu’utilisateur, vous pouvez sélectionner lier comme utilisateur actuellement connecté.) Cliquez sur OK.

    Screenshot that shows where to type the credentials of a user account that has permission to modify the rootDSE object.

  6. Une fois l’opération de liaison terminée, cliquez sur Parcourir, puis sur modifier.

    protected accounts and groups

  7. Dans la boîte de dialogue modifier , laissez le champ DN vide. Dans le champ modifier l’attribut d’entrée , tapez RunProtectAdminGroupsTask, puis dans le champ valeurs , tapez 1. Cliquez sur entrée pour remplir la liste d’entrées comme indiqué ici.

    Screenshot that shows the Edit Entry Attribute field.

  8. Dans la boîte de dialogue modification remplie, cliquez sur exécuter, puis vérifiez que les modifications que vous avez apportées à l’objet AdminSDHolder sont apparues sur cet objet.

Si vous préférez exécuter SDProp manuellement via LDIFDE ou un script, vous pouvez créer une entrée de modification comme indiqué ici :

Screenshot that shows what to do if you prefer to run SDProp manually via LDIFDE or a script.