Bagikan melalui

Lampiran C: Akun dan Grup yang Dilindungi di Direktori Aktif

Lampiran C: Akun dan Grup yang Dilindungi di Direktori Aktif

Dalam Direktori Aktif, sekumpulan akun dan grup yang sangat istimewa secara default dianggap sebagai akun dan grup yang dilindungi. Dengan sebagian besar objek di Direktori Aktif, pengguna yang mendelegasikan izin untuk mengelola objek Direktori Aktif dapat mengubah izin pada objek, termasuk mengubah izin untuk memungkinkan diri mereka mengubah keanggotaan grup khusus.

Akun dan grup yang dilindungi adalah objek khusus di mana izin diatur dan diberlakukan melalui proses otomatis yang memastikan izin pada objek tetap konsisten. Izin ini tetap ada meskipun Anda memindahkan objek ke lokasi yang berbeda di Direktori Aktif. Jika izin objek yang dilindungi dimodifikasi, proses yang ada memastikan bahwa izin dikembalikan ke defaultnya dengan cepat.

Grup terproteksi

Akun dan grup keamanan berikut dilindungi di Active Directory Domain Services:

  • Operator Akun
  • Administrator
  • Administrator
  • Operator Azure Backup
  • Admin Domain
  • Pengendali domain
  • Admin Perusahaan
  • Krbtgt
  • Operator Cetak
  • Pengontrol Domain Baca-saja
  • Replikator
  • Admin Skema
  • Operator Server

AdminSDHolder

Tujuan objek AdminSDHolder adalah untuk memberikan izin "templat" untuk akun dan grup yang dilindungi di domain. AdminSDHolder secara otomatis dibuat sebagai objek dalam kontainer Sistem dari setiap domain Direktori Aktif. Jalurnya adalah: CN=AdminSDHolder,CN=System,DC=<domain_component,DC>=<domain_component>?.

Sementara grup Administrator memiliki sebagian besar objek di domain Direktori Aktif, grup Admin Domain memiliki objek AdminSDHolder. Secara default, Admin Perusahaan dapat membuat perubahan pada objek AdminSDHolder domain apa pun, seperti halnya grup Admin dan Administrator Domain. Selain itu, meskipun pemilik default AdminSDHolder adalah grup Admin Domain domain, anggota Administrator atau Admin Perusahaan dapat mengambil kepemilikan objek.

SDProp

SDProp adalah proses yang berjalan setiap 60 menit (secara default) pada pengendali domain yang menyimpan Emulator PDC domain (PDCE). SDProp membandingkan izin pada objek AdminSDHolder domain dengan izin pada akun dan grup yang dilindungi di domain. Jika izin pada salah satu akun dan grup yang dilindungi tidak cocok dengan izin pada objek AdminSDHolder, SDProp mengatur ulang izin pada akun dan grup yang dilindungi agar sesuai dengan yang dikonfigurasi untuk objek AdminSDHolder domain.

Pewarisan izin dinonaktifkan pada grup dan akun yang dilindungi. Bahkan jika akun dan grup dipindahkan ke lokasi yang berbeda di direktori, mereka tidak akan mewarisi izin dari objek induk baru mereka. Pewarisan dinonaktifkan pada objek AdminSDHolder sehingga izin berubah ke objek induk tidak mengubah izin AdminSDHolder.

Mengubah Interval SDProp

Biasanya, Anda tidak perlu mengubah interval di mana SDProp berjalan, kecuali untuk tujuan pengujian. Jika Anda perlu mengubah interval SDProp, pada PDCE untuk domain, gunakan regedit untuk menambahkan atau memodifikasi nilai DWORD AdminSDProtectFrequency di HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Rentang nilai dalam detik dari 60 hingga 7200 (satu menit hingga dua jam). Untuk menghapus perubahan, hapus kunci AdminSDProtectFrequency. Menghapus kunci menyebabkan SDProp kembali ke interval 60 menit. Anda umumnya tidak boleh mengurangi interval ini di domain produksi karena dapat meningkatkan overhead pemrosesan LSASS pada pengontrol domain. Dampak peningkatan ini tergantung pada jumlah objek yang dilindungi di domain.

Menjalankan SDProp Secara Manual

Pendekatan yang lebih baik untuk menguji perubahan AdminSDHolder adalah menjalankan SDProp secara manual, yang menyebabkan tugas segera berjalan tetapi tidak memengaruhi eksekusi terjadwal. Anda dapat memaksa SDProp untuk dijalankan dengan menggunakan Ldp.exe atau dengan menjalankan skrip modifikasi LDAP. Untuk menjalankan SDProp secara manual, lakukan langkah-langkah berikut:

  1. Luncurkan Ldp.exe.

  2. Dalam kotak dialog Ldp , klik Koneksi, dan klik Sambungkan.

  3. Dalam kotak dialog Sambungkan , ketik nama pengendali domain untuk domain yang memegang peran PDC Emulator (PDCE) dan klik OK.

    Cuplikan layar yang memperlihatkan kotak dialog Sambungkan.

  4. Untuk memverifikasi koneksi, periksa apakah Dn: (RootDSE) hadir mirip dengan cuplikan layar berikut. Selanjutnya klik Koneksi dan klik Ikat.

    Cuplikan layar yang memperlihatkan opsi menu Ikat pada menu Koneksi.

  5. Dalam kotak dialog Ikat , ketik kredensial akun pengguna yang memiliki izin untuk mengubah objek rootDSE. (Jika Anda masuk sebagai pengguna tersebut, Anda dapat memilih Ikat sebagai pengguna yang saat ini masuk.) Klik OK.

    Cuplikan layar yang memperlihatkan tempat mengetik kredensial akun pengguna yang memiliki izin untuk mengubah objek rootDSE.

  6. Setelah operasi pengikatan selesai, klik Telusuri, dan klik Ubah.

  7. Dalam kotak dialog Ubah , biarkan bidang DN kosong. Di bidang Edit Atribut Entri, ketik RunProtectAdminGroupsTask, dan di bidang Nilai, ketik 1. Klik Enter untuk mengisi daftar entri seperti yang diperlihatkan di sini.

    Cuplikan layar yang memperlihatkan bidang Edit Atribut Entri.

  8. Dalam kotak dialog Ubah yang diisi, klik Jalankan, dan verifikasi bahwa perubahan yang Anda buat pada objek AdminSDHolder telah muncul pada objek tersebut.