附录 C:Active Directory 中受保护的帐户和组

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附录 C:Active Directory 中受保护的帐户和组

在 Active Directory 中,一组默认的高特权帐户和组被视为受保护的帐户和组。 对于 Active Directory 中的大多数对象,委派的管理员 (具有管理 Active Directory 对象) 的委托权限的用户可以更改对对象的权限,包括更改权限以允许自己更改组的成员身份等。

但是,使用受保护的帐户和组时,通过自动过程设置和强制实施对象的权限,以确保即使对象已移动目录,对对象的权限也保持一致。 即使有人手动更改受保护对象的权限,此过程也可确保权限快速返回到其默认值。

受保护的组

下表包含域控制器操作系统列出的 Active Directory 中的受保护组。

Active Directory 中受保护的帐户和组(按操作系统)

Windows Server 2003 RTM Windows Server 2003 SP1+ Windows Server 2012、
Windows Server 2008 R2
Windows Server 2008
Windows Server 2016
Account Operators Account Operators Account Operators Account Operators
管理员 管理员 管理员 管理员
管理员 管理员 管理员 管理员
备份操作员 备份操作员 备份操作员 备份操作员
Cert Publishers
域管理员 域管理员 域管理员 Domain Admins
域控制器 域控制器 域控制器 域控制器
企业管理员 企业管理员 企业管理员 企业管理员
Krbtgt Krbtgt Krbtgt Krbtgt
打印操作员 打印操作员 打印操作员 打印操作员
只读域控制器 只读域控制器
复制程序 复制程序 复制程序 复制程序
Schema Admins Schema Admins Schema Admins Schema Admins
Server Operators Server Operators Server Operators Server Operators

AdminSDHolder

AdminSDHolder 对象的目的是为域中受保护的帐户和组提供"模板"权限。 AdminSDHolder 自动创建为每个 Active Directory 域的系统容器中的对象。 其路径为 :CN=AdminSDHolder,CN=System,DC= domain_component > ,DC= < domain_component > ?。

与 Active Directory 域中大多数对象(由 Administrators 组拥有)不同,AdminSDHolder 归 Domain Admins 组所有。 默认情况下,EAS 可以更改任何域的 AdminSDHolder 对象,域的"域管理员"和"管理员"组也可以进行更改。 此外,尽管 AdminSDHolder 的默认所有者是域的域管理员组,但管理员或管理员Enterprise成员可以取得该对象的所有权。

SDProp

SDProp 是一个进程,默认情况下, (在保存域的 PDC Emulator (PDCE) 的域控制器上运行一) 次。 SDProp 将域的 AdminSDHolder 对象的权限与域中受保护帐户和组的权限进行比较。 如果任何受保护帐户和组的权限与 AdminSDHolder 对象上的权限不匹配,则重置对受保护帐户和组的权限,以匹配域的 AdminSDHolder 对象的权限。

此外,对受保护的组和帐户禁用权限继承,这意味着即使帐户和组移动到目录中的不同位置,它们也不从其新的父对象继承权限。 在 AdminSDHolder 对象上禁用继承,以便对父对象的权限更改不会更改 AdminSDHolder 的权限。

更改 SDProp 间隔

通常,除了出于测试目的,不应更改 SDProp 的运行间隔。 如果需要更改 SDProp 间隔,在域的 PDCE 上,使用 regedit 在 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 中添加或修改 AdminSDProtectFrequency DWORD 值。

值的范围为 60 到 7200 秒 (1 分钟到 2 小时) 。 若要撤消更改,请删除 AdminSDProtectFrequency 密钥,这会使 SDProp 恢复到 60 分钟的时间间隔。 通常不应在生产域中减少此间隔,因为它会增加域控制器上的 LSASS 处理开销。 此增加的影响取决于域中受保护对象的数量。

手动运行 SDProp

测试 AdminSDHolder 更改的更好方法是手动运行 SDProp,这会导致任务立即运行,但不会影响计划的执行。 在运行 Windows Server 2008 和更早的域控制器上,手动运行 SDProp 的方式与运行 Windows Server 2012 或 Windows Server 2008 R2 的域控制器上执行 SDProp 的方式略有不同。

在较旧的操作系统上手动运行 SDProp 的过程在Microsoft 支持 251343 一文提供,下面是适用于较旧和较新操作系统的分步说明。 在任一情况下,都必须连接到 Active Directory 中的 rootDSE 对象,并针对 rootDSE 对象执行具有 null DN 的修改操作,同时将操作的名称指定为要修改的属性。 有关 rootDSE 对象上可修改操作的信息,请参阅 MSDN 网站上 rootDSE Modify Operations。

在 Windows Server 2008 或更早版本中手动运行 SDProp

可以通过使用 Ldp.exe或运行 LDAP 修改脚本来强制运行 SDProp。 若要使用 Ldp.exe 运行 SDProp,请对域中的 AdminSDHolder 对象进行更改后执行以下步骤:

  1. 启动 Ldp.exe

  2. "Ldp"对话框中单击"连接",然后单击"连接"。

    Screenshot that shows the Connect menu option.

  3. "连接"对话框中,键入包含 PDC 角色的域的域控制器名称Emulator (PDCE) 然后单击"确定"。

    Screenshot that shows where to type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role.

  4. 根据以下屏幕截图中的Dn: (RootDSE) ,验证连接是否成功,然后单击"绑定"。

    Screenshot that shows where to select Connection and then select Bind to verify that you have connected successfully.

  5. "绑定 "对话框中,键入有权修改 rootDSE 对象的用户帐户的凭据。 (如果以该用户身份登录,可以选择"绑定 为当前登录 的 user.) 单击“确定”。

    Screenshot that shows the Bind dialog box.

  6. 完成绑定操作后,单击"浏览",然后单击"修改"。

    Screenshot that shows the Modify menu option in the Browse menu.

  7. 在" 修改 "对话框中,将 "DN"字段 留空。 在"编辑条目属性"字段中,键入"FixUpInheritance",在"值"字段中键入"是"。 单击 Enter 以填充 条目列表 ,如以下屏幕截图所示。

    Screenshot that shows the Modify dialog box.

  8. 在填充的"修改"对话框中,单击"运行",并验证对 AdminSDHolder 对象所做的更改是否出现在该对象上。

注意

有关修改 AdminSDHolder 以允许指定的非特权帐户修改受保护组的成员身份的信息,请参阅 附录 I:在 Active Directory中为受保护的帐户和组创建管理帐户。

如果希望通过 LDIFDE 或脚本手动运行 SDProp,可以创建修改条目,如下所示:

Screenshot that shows how you can create a modify entry.

在 Windows Server 2012 或 Windows Server 2008 R2 中手动运行 SDProp

也可通过使用 Ldp.exe或运行 LDAP 修改脚本来强制运行 SDProp。 若要使用 Ldp.exe 运行 SDProp,请对域中的 AdminSDHolder 对象进行更改后执行以下步骤:

  1. 启动 Ldp.exe

  2. "Ldp"对话框中,单击"连接",然后单击"连接"。

    Screenshot that shows the Ldp dialog box.

  3. "连接"对话框中,键入包含 PDC 角色的域的域控制器名称Emulator (PDCE) 然后单击"确定"。

    Screenshot that shows the Connect dialog box.

  4. 根据以下屏幕截图中的Dn: (RootDSE) ,验证连接是否成功,然后单击"绑定"。

    Screenshot that shows the Bind menu option on the Connection menu.

  5. "绑定 "对话框中,键入有权修改 rootDSE 对象的用户帐户的凭据。 (如果以该用户身份登录,可以选择"绑定为 当前登录的用户 .) 单击“确定”。

    Screenshot that shows where to type the credentials of a user account that has permission to modify the rootDSE object.

  6. 完成绑定操作后,单击"浏览",然后单击"修改"。

    protected accounts and groups

  7. 在" 修改 "对话框中,将 "DN"字段 留空。 在" 编辑条目属性" 字段中, 键入"RunProtectAdminGroupsTask",在" 值" 字段中键入 1。 单击 Enter 以填充条目列表,如下所示。

    Screenshot that shows the Edit Entry Attribute field.

  8. 在填充的"修改"对话框中,单击"运行",并验证对 AdminSDHolder 对象所做的更改是否出现在该对象上。

如果希望通过 LDIFDE 或脚本手动运行 SDProp,可以创建修改条目,如下所示:

Screenshot that shows what to do if you prefer to run SDProp manually via LDIFDE or a script.