Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo ayuda a resolver el problema en el que ve un lote del identificador de evento 4780 registrado en el registro de eventos de seguridad del controlador de dominio principal (PDC).
Ha cambiado la lista de control de acceso del sistema o auditoría (SACL) de objetos de tipo contenedor (unidades organizativas y contenedores) en Active Directory donde se encuentran los usuarios y grupos administradores. Al comprobar el registro de eventos de seguridad, verá un lote de id. de evento 4780 registrado en el PDC cada hora.
Este es un ejemplo del identificador de evento 4780:
Level: Information
Source: Microsoft-Windows-Security-Auditing
Message: The ACL was set on accounts which are members of administrators groups.
Subject:
Security ID: *No String Type*
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 998
Target Account:
Security ID: *No String Type*
Account Name: <Account Name>
Account Domain: DC=contoso,DC=com
Additional Information:
Privileges: -
Las cuentas notificadas son todos los miembros de grupos de tipo administrador. Están protegidos por la tarea AdminSDHolder y el Descriptor de seguridad (SD) se sobrescribe desde la plantilla SD.
Al inspeccionar la lista de control de acceso discrecional (DACL) de los usuarios notificados, es igual que adminSDHolder DACL y daCL de los usuarios administradores que no se notifican en el id. de evento 4780.
Sd difiere de la plantilla SD del objeto AdminSDHolder
El trabajo de cumplimiento AdminSDHolder se ejecuta en el emulador de PDC una vez por hora. El trabajo compila una lista de cuentas que protege y garantiza que el SD actual sea el mismo que el SD de plantilla del objeto AdminSDHolder en el nivel binario.
El evento se desencadena mediante la sd diferente. La diferencia en el SD está en la SACL. La SACL, de forma predeterminada, tiene tres entradas y la herencia está habilitada.
La marca de herencia significa que cuando el trabajo de cumplimiento AdminSDHolder escribe el SD para aplicar AdminSDHolder, los códigos combinan la SACL escrita con la SACL del objeto primario. Esta acción puede dar lugar a entradas adicionales de control de acceso del sistema (SACE) en la SD recién escrita.
En la siguiente ejecución del trabajo de cumplimiento AdminSDHolder, la SACL diferente conduce a un SD diferente. A continuación, se creará y escribirá un nuevo SD, pero lo mismo sucede de nuevo. La nueva SACL escrita será diferente de la plantilla en el objeto AdminSDHolder.
Editar el SD del objeto AdminSDHolder para no heredar la SACL
Nota:
No hay ninguna resolución en una actualización de software a partir de octubre de 2022. Es complejo resolver el problema en una actualización de software. La SACL actual que usan los clientes puede ser adecuada para la implementación y la marca de herencia se puede establecer con fines. Puede omitir el identificador de evento 4780 y no se recomienda borrar la marca de herencia para los dominios existentes.
Si tiene problemas debido al identificador de evento 4780 y a las actualizaciones excesivas, edite el SD del objeto AdminSDHolder para no heredar la SACL. Seleccione Avanzadas en la ventana AdminSDHolder Properties (Propiedades de administrador) y seleccione Deshabilitar herencia en la pestaña Auditoría de la ventana Configuración de seguridad avanzada para AdminSDHolder . Estas son las capturas de pantalla:
Evite las entradas heredadas del objeto primario. Copie o quite las entradas existentes según sea necesario. Como alternativa, ajuste la SACL para adaptarse a las necesidades de los usuarios y grupos protegidos.