附錄 C︰Active Directory 中受保護的帳戶和群組

適用于: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附錄 C︰Active Directory 中受保護的帳戶和群組

在 Active Directory 中,會將一組預設的高許可權帳戶和群組視為受保護的帳戶和群組。 在 Active Directory 的大部分物件中,委派的系統管理員 (已委派許可權來管理 Active Directory 物件的使用者) 可以變更物件的許可權,例如,變更許可權以允許自己變更群組的成員資格。

不過,使用受保護的帳戶和群組時,會透過自動程式來設定和強制物件的許可權,以確保物件的許可權會保持一致,即使物件已移動目錄也一樣。 即使有人手動變更受保護物件的許可權,此程式仍可確保將許可權快速地傳回給其預設值。

受保護的群組

下表包含網域控制站作業系統所列出 Active Directory 中受保護的群組。

作業系統 Active Directory 中受保護的帳戶和群組

Windows Server 2003 RTM Windows Server 2003 SP1 + Windows Server 2012、
Windows Server 2008 R2,
Windows Server 2008
Windows Server 2016
Account Operators Account Operators Account Operators Account Operators
系統管理員 系統管理員 系統管理員 系統管理員
系統管理員 系統管理員 系統管理員 系統管理員
Backup Operators Backup Operators Backup Operators Backup Operators
Cert Publishers
Domain Admins Domain Admins Domain Admins Domain Admins
網域控制站 網域控制站 網域控制站 網域控制站
Enterprise Admins Enterprise Admins Enterprise Admins Enterprise Admins
Krbtgt Krbtgt Krbtgt Krbtgt
Print Operators Print Operators Print Operators Print Operators
Read-only Domain Controllers Read-only Domain Controllers
Replicator Replicator Replicator Replicator
Schema Admins Schema Admins Schema Admins Schema Admins
Server Operators Server Operators Server Operators Server Operators

AdminSDHolder

AdminSDHolder 物件的目的是要為網域中受保護的帳戶和群組提供「範本」許可權。 AdminSDHolder 會自動建立為每個 Active Directory 網域的系統容器中的物件。 其路徑為: CN = AdminSDHolder,cn = System,dc = domain_component > ,dc = < domain_component > ?。

不同于系統管理員群組所擁有的 Active Directory 網域中的大部分物件,AdminSDHolder 是由 Domain Admins 群組所擁有。 根據預設,EAs 可以對任何網域的 AdminSDHolder 物件進行變更,就像網域的 Domain Admins 和 Administrators 群組一樣。 此外,雖然 AdminSDHolder 的預設擁有者是網域的 domain Admins 群組,但是 Administrators 或 Enterprise Admins 的成員可以取得物件的擁有權。

SDProp

SDProp 是一種程式,預設會在保存網域 PDC Emulator (PDCE) 的網域控制站上,每隔60分鐘執行一次 () 。 SDProp 會比較網域的 AdminSDHolder 物件使用權限與網域中受保護帳戶和群組的許可權。 如果任何受保護帳戶和群組的許可權不符合 AdminSDHolder 物件的許可權,則會重設受保護帳戶和群組的許可權,以符合網域 AdminSDHolder 物件的許可權。

此外,受保護的群組和帳戶已停用許可權繼承,這表示即使將帳戶和群組移至目錄中的不同位置,它們也不會繼承其新父物件的許可權。 AdminSDHolder 物件上已停用繼承,因此父物件的許可權變更不會變更 AdminSDHolder 的許可權。

變更 SDProp 間隔

一般來說,您應該不需要變更 SDProp 執行的間隔,但測試用途除外。 如果您需要變更 SDProp 間隔,請在網域的 PDCE 上,使用 regedit 在 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. 中新增或修改 AdminSDProtectFrequency DWORD 值

值的範圍是從60到7200的秒數, (一分鐘到兩小時) 。 若要反轉變更,請刪除 AdminSDProtectFrequency 索引鍵,這會導致 SDProp 還原回60分鐘的間隔。 您通常不應該減少生產網域中的此間隔,因為它會增加網域控制站上的 LSASS 處理負荷。 此增加的影響取決於網域中受保護的物件數目。

手動執行 SDProp

測試 AdminSDHolder 變更的較佳方法是手動執行 SDProp,這會導致工作立即執行,但不會影響排程的執行。 在執行 Windows Server 2008 及更早版本的網域控制站上,在執行 Windows Server 2012 或 Windows Server 2008 R2 的網域控制站上,以手動方式執行 SDProp 會略有不同。

在舊版作業系統上手動執行 SDProp 的程式會在 Microsoft 支援服務文章 251343中提供,而下列是較舊和較新的作業系統的逐步指示。 無論是哪一種情況,您都必須連接到 Active Directory 中的 rootDSE 物件,並針對 rootDSE 物件執行具有 null DN 的修改作業,並將作業的名稱指定為要修改的屬性。 如需 rootDSE 物件上可修改作業的詳細資訊,請參閱 MSDN 網站上的 Rootdse 修改作業

在 Windows Server 2008 或更早版本中手動執行 SDProp

您可以使用 Ldp.exe 或執行 LDAP 修改腳本來強制執行 SDProp。 若要使用 Ldp.exe 執行 SDProp,請在對網域中的 AdminSDHolder 物件進行變更之後,執行下列步驟:

  1. 啟動 Ldp.exe

  2. 按一下 [Ldp] 對話方塊上的 [連接],然後按一下 [連線]。

    Screenshot that shows the Connect menu option.

  3. 在 [連線] 對話方塊中,輸入保存 PDC Emulator (PDCE) 角色之網域的網域控制站名稱,然後按一下[確定]

    Screenshot that shows where to type the name of the domain controller for the domain that holds the PDC Emulator (PDCE) role.

  4. 確認您已成功連接,如下列螢幕擷取畫面中的Dn: (RootDSE) 所示,按一下 [連線] ,然後按一下[系結]。

    Screenshot that shows where to select Connection and then select Bind to verify that you have connected successfully.

  5. 在 [系結] 對話方塊中,輸入具有修改 rootDSE 物件使用權限之使用者帳戶的認證。 (如果您以該使用者的身分登入,您可以選取 [系結 目前登入的使用者]。 ) 按一下 [確定]。

    Screenshot that shows the Bind dialog box.

  6. 完成系結作業之後,請按一下 [流覽],然後按一下 [ 修改]。

    Screenshot that shows the Modify menu option in the Browse menu.

  7. 在 [ 修改 ] 對話方塊中,將 [ DN ] 欄位保留空白。 在 [ 編輯專案屬性 ] 欄位中,輸入 FixUpInheritance,然後在 [ ] 欄位中輸入 Yes。 按一下 [ 輸入 ] 以填入 專案清單 ,如下列螢幕擷取畫面所示。

    Screenshot that shows the Modify dialog box.

  8. 在 [已填入的修改] 對話方塊中,按一下 [執行],並確認您對 AdminSDHolder 物件所做的變更已出現在該物件上。

注意

如需修改 AdminSDHolder 以允許指定的無特殊許可權帳戶修改受保護群組成員資格的相關資訊,請參閱 附錄 I:在 Active Directory 中建立受保護帳戶和群組的管理帳戶

如果您想要透過 LDIFDE 或腳本手動執行 SDProp,您可以建立如下所示的修改專案:

Screenshot that shows how you can create a modify entry.

在 Windows Server 2012 或 Windows Server 2008 R2 中手動執行 SDProp

您也可以使用 Ldp.exe 或執行 LDAP 修改腳本來強制執行 SDProp。 若要使用 Ldp.exe 執行 SDProp,請在對網域中的 AdminSDHolder 物件進行變更之後,執行下列步驟:

  1. 啟動 Ldp.exe

  2. 在 [ Ldp ] 對話方塊中,按一下 [連接],然後按一下 [連線]。

    Screenshot that shows the Ldp dialog box.

  3. 在 [連線] 對話方塊中,輸入保存 PDC Emulator (PDCE) 角色之網域的網域控制站名稱,然後按一下[確定]

    Screenshot that shows the Connect dialog box.

  4. 確認您已成功連接,如下列螢幕擷取畫面中的Dn: (RootDSE) 所示,按一下 [連線] ,然後按一下[系結]。

    Screenshot that shows the Bind menu option on the Connection menu.

  5. 在 [系結] 對話方塊中,輸入具有修改 rootDSE 物件使用權限之使用者帳戶的認證。 (如果您以該使用者的身分登入,您可以選取 [系結 為目前登入的使用者]。 ) 按一下 [確定]。

    Screenshot that shows where to type the credentials of a user account that has permission to modify the rootDSE object.

  6. 完成系結作業之後,請按一下 [流覽],然後按一下 [ 修改]。

    protected accounts and groups

  7. 在 [ 修改 ] 對話方塊中,將 [ DN ] 欄位保留空白。 在 [ 編輯專案屬性 ] 欄位中,輸入 RunProtectAdminGroupsTask,然後在 [ ] 欄位中輸入 1。 按一下 [ 輸入 ] 以填入專案清單,如下所示。

    Screenshot that shows the Edit Entry Attribute field.

  8. 在 [已填入的 修改 ] 對話方塊中,按一下 [ 執行],並確認您對 AdminSDHolder 物件所做的變更已出現在該物件上。

如果您想要透過 LDIFDE 或腳本手動執行 SDProp,您可以建立如下所示的修改專案:

Screenshot that shows what to do if you prefer to run SDProp manually via LDIFDE or a script.