Lampiran C: Akun dan Grup yang Dilindungi di Direktori Aktif

  • Artikel
  • 5 menit untuk membaca

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lampiran C: Akun dan Grup yang Dilindungi di Direktori Aktif

Dalam Direktori Aktif, sekumpulan akun dan grup yang sangat istimewa secara default dianggap sebagai akun dan grup yang dilindungi. Dengan sebagian besar objek di Direktori Aktif, administrator yang didelegasikan (pengguna yang telah didelegasikan izin untuk mengelola objek Direktori Aktif) dapat mengubah izin pada objek, termasuk mengubah izin untuk memungkinkan diri mereka mengubah keanggotaan grup, misalnya.

Namun, dengan akun dan grup yang dilindungi, izin objek diatur dan diberlakukan melalui proses otomatis yang memastikan izin pada objek tetap konsisten meskipun objek dipindahkan direktori. Bahkan jika seseorang secara manual mengubah izin objek yang dilindungi, proses ini memastikan bahwa izin dikembalikan ke default mereka dengan cepat.

Grup terproteksi

Tabel berikut berisi grup yang dilindungi di Direktori Aktif yang dicantumkan oleh sistem operasi pengendali domain.

Akun dan Grup yang Dilindungi di Direktori Aktif oleh Sistem Operasi

Windows Server 2003 RTM Windows Server 2003 SP1+ Windows Server 2012,
Windows Server 2008 R2,
Windows Server 2008		 Server Windows 2016
Operator Akun Operator Akun Operator Akun Operator Akun
Administrator Administrator Administrator Administrator
Admin Admin Admin Administrator
Operator Azure Backup Operator Azure Backup Operator Azure Backup Operator Azure Backup
Penerbit Sertifikat
Admin Domain Admin Domain Admin Domain Admin Domain
Pengendali domain Pengendali domain Pengendali domain Pengendali domain
Admin Perusahaan Admin Perusahaan Admin Perusahaan Admin Perusahaan
Krbtgt Krbtgt Krbtgt Krbtgt
Operator Cetak Operator Cetak Operator Cetak Operator Cetak
Pengendali Domain Baca-saja Pengendali Domain Baca-saja
Replikator Replikator Replikator Replikator
Admin Skema Admin Skema Admin Skema Admin Skema
Operator Server Operator Server Operator Server Operator Server

AdminSDHolder

Tujuan objek AdminSDHolder adalah untuk memberikan izin "templat" untuk akun dan grup yang dilindungi di domain. AdminSDHolder secara otomatis dibuat sebagai objek dalam kontainer Sistem dari setiap domain Direktori Aktif. Jalurnya adalah: CN=AdminSDHolder,CN=System,DC=<domain_component,DC>=<domain_component>?.

Tidak seperti kebanyakan objek di domain Direktori Aktif, yang dimiliki oleh grup Administrator, AdminSDHolder dimiliki oleh grup Admin Domain. Secara default, EA dapat membuat perubahan pada objek AdminSDHolder domain apa pun, seperti halnya grup Admin dan Administrator Domain. Selain itu, meskipun pemilik default AdminSDHolder adalah grup Admin Domain domain, anggota Administrator atau Admin Perusahaan dapat mengambil kepemilikan objek.

SDProp

SDProp adalah proses yang berjalan setiap 60 menit (secara default) pada pengendali domain yang memegang Emulator PDC domain (PDCE). SDProp membandingkan izin pada objek AdminSDHolder domain dengan izin pada akun dan grup yang dilindungi di domain. Jika izin pada salah satu akun dan grup yang dilindungi tidak cocok dengan izin pada objek AdminSDHolder, izin pada akun dan grup yang dilindungi diatur ulang agar sesuai dengan yang ada di objek AdminSDHolder domain.

Selain itu, pewarisan izin dinonaktifkan pada grup dan akun yang dilindungi, yang berarti bahwa bahkan jika akun dan grup dipindahkan ke lokasi yang berbeda di direktori, mereka tidak mewarisi izin dari objek induk baru mereka. Pewarisan dinonaktifkan pada objek AdminSDHolder sehingga izin berubah ke objek induk tidak mengubah izin AdminSDHolder.

Mengubah Interval SDProp

Biasanya, Anda tidak perlu mengubah interval tempat SDProp berjalan, kecuali untuk tujuan pengujian. Jika Anda perlu mengubah interval SDProp, pada PDCE untuk domain, gunakan regedit untuk menambahkan atau mengubah nilai DWORD AdminSDProtectFrequency di HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Rentang nilai dalam hitungan detik dari 60 hingga 7200 (satu menit hingga dua jam). Untuk membalikkan perubahan, hapus kunci AdminSDProtectFrequency, yang akan menyebabkan SDProp kembali ke interval 60 menit. Anda umumnya tidak boleh mengurangi interval ini di domain produksi karena dapat meningkatkan overhead pemrosesan LSASS pada pengendali domain. Dampak peningkatan ini tergantung pada jumlah objek yang dilindungi di domain.

Menjalankan SDProp Secara Manual

Pendekatan yang lebih baik untuk menguji perubahan AdminSDHolder adalah menjalankan SDProp secara manual, yang menyebabkan tugas segera berjalan tetapi tidak memengaruhi eksekusi terjadwal. Menjalankan SDProp secara manual dilakukan sedikit berbeda pada pengendali domain yang menjalankan Windows Server 2008 dan yang lebih lama dari pada pengendali domain yang menjalankan Windows Server 2012 atau Windows Server 2008 R2.

Prosedur untuk menjalankan SDProp secara manual pada sistem operasi yang lebih lama disediakan dalam artikel Dukungan Microsoft 251343, dan berikut ini adalah instruksi langkah demi langkah untuk sistem operasi yang lebih lama dan yang lebih baru. Dalam kedua kasus, Anda harus terhubung ke objek rootDSE di Direktori Aktif dan melakukan operasi modifikasi dengan DN null untuk objek rootDSE, menentukan nama operasi sebagai atribut untuk dimodifikasi. Untuk informasi selengkapnya tentang operasi yang dapat dimodifikasi pada objek rootDSE, lihat Operasi Modifikasi rootDSE di situs web MSDN.

Menjalankan SDProp Secara Manual di Windows Server 2008 atau Sebelumnya

Anda dapat memaksa SDProp untuk dijalankan dengan menggunakan Ldp.exe atau dengan menjalankan skrip modifikasi LDAP. Untuk menjalankan SDProp menggunakan Ldp.exe, lakukan langkah-langkah berikut setelah Anda membuat perubahan pada objek AdminSDHolder di domain:

  1. Luncurkan Ldp.exe.

  2. Klik Koneksi pada kotak dialog Ldp, dan klik Sambungkan.

    Screenshot that shows the Connect menu option.

  3. Dalam kotak dialog Sambungkan , ketik nama pengendali domain untuk domain yang memegang peran PDC Emulator (PDCE) dan klik OK.

    Screenshot that shows where to type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role.

  4. Verifikasi bahwa Anda berhasil tersambung, seperti yang ditunjukkan oleh Dn: (RootDSE) dalam cuplikan layar berikut, klik Koneksi dan klik Ikat.

    Screenshot that shows where to select Connection and then select Bind to verify that you have connected successfully.

  5. Dalam kotak dialog Ikat , ketik kredensial akun pengguna yang memiliki izin untuk mengubah objek rootDSE. (Jika Anda masuk sebagai pengguna tersebut, Anda dapat memilih Ikat sebagai pengguna yang saat ini masuk.) Klik OK.

    Screenshot that shows the Bind dialog box.

  6. Setelah Anda menyelesaikan operasi pengikatan, klik Telusuri, dan klik Ubah.

    Screenshot that shows the Modify menu option in the Browse menu.

  7. Dalam kotak dialog Ubah , biarkan bidang DN kosong. Di bidang Edit Atribut Entri , ketik FixUpInheritance, dan di bidang Nilai , ketik Ya. Klik Enter untuk mengisi Daftar Entri seperti yang diperlihatkan dalam cuplikan layar berikut ini.

    Screenshot that shows the Modify dialog box.

  8. Dalam kotak dialog Ubah yang diisi, klik Jalankan, dan verifikasi bahwa perubahan yang Anda buat pada objek AdminSDHolder telah muncul pada objek tersebut.

Catatan

Untuk informasi tentang memodifikasi AdminSDHolder untuk memungkinkan akun yang tidak istimewa yang ditunjuk mengubah keanggotaan grup yang dilindungi, lihat Lampiran I: Membuat Akun Manajemen untuk Akun dan Grup yang Dilindungi di Direktori Aktif.

Jika Anda lebih suka menjalankan SDProp secara manual melalui LDIFDE atau skrip, Anda dapat membuat entri modifikasi seperti yang ditunjukkan di sini:

Screenshot that shows how you can create a modify entry.

Menjalankan SDProp Secara Manual di Windows Server 2012 atau Windows Server 2008 R2

Anda juga dapat memaksa SDProp untuk dijalankan dengan menggunakan Ldp.exe atau dengan menjalankan skrip modifikasi LDAP. Untuk menjalankan SDProp menggunakan Ldp.exe, lakukan langkah-langkah berikut setelah Anda membuat perubahan pada objek AdminSDHolder di domain:

  1. Luncurkan Ldp.exe.

  2. Dalam kotak dialog Ldp , klik Koneksi, dan klik Sambungkan.

    Screenshot that shows the Ldp dialog box.

  3. Dalam kotak dialog Sambungkan , ketik nama pengendali domain untuk domain yang memegang peran PDC Emulator (PDCE) dan klik OK.

    Screenshot that shows the Connect dialog box.

  4. Verifikasi bahwa Anda berhasil tersambung, seperti yang ditunjukkan oleh Dn: (RootDSE) dalam cuplikan layar berikut, klik Koneksi dan klik Ikat.

    Screenshot that shows the Bind menu option on the Connection menu.

  5. Dalam kotak dialog Ikat , ketik kredensial akun pengguna yang memiliki izin untuk mengubah objek rootDSE. (Jika Anda masuk sebagai pengguna tersebut, Anda dapat memilih Ikat sebagai pengguna yang saat ini masuk.) Klik OK.

    Screenshot that shows where to type the credentials of a user account that has permission to modify the rootDSE object.

  6. Setelah Anda menyelesaikan operasi pengikatan, klik Telusuri, dan klik Ubah.

    protected accounts and groups

  7. Dalam kotak dialog Ubah , biarkan bidang DN kosong. Di bidang Edit Atribut Entri , ketik RunProtectAdminGroupsTask, dan di bidang Nilai , ketik 1. Klik Enter untuk mengisi daftar entri seperti yang diperlihatkan di sini.

    Screenshot that shows the Edit Entry Attribute field.

  8. Dalam kotak dialog Ubah yang diisi, klik Jalankan, dan verifikasi bahwa perubahan yang Anda buat pada objek AdminSDHolder telah muncul pada objek tersebut.

Jika Anda lebih suka menjalankan SDProp secara manual melalui LDIFDE atau skrip, Anda dapat membuat entri modifikasi seperti yang ditunjukkan di sini:

Screenshot that shows what to do if you prefer to run SDProp manually via LDIFDE or a script.