Appendice C: Account protetti e gruppi in Active Directory

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Appendice C: Account protetti e gruppi in Active Directory

All'interno di Active Directory, un set predefinito di account e gruppi con privilegi elevati viene considerato protetto. Con la maggior parte degli oggetti in Active Directory, gli utenti hanno delegato le autorizzazioni per gestire gli oggetti di Active Directory possono modificare le autorizzazioni per gli oggetti, inclusa la modifica delle autorizzazioni per consentire loro di modificare l'appartenenza a gruppi speciali.

Gli account e i gruppi protetti sono oggetti speciali in cui le autorizzazioni vengono impostate e applicate tramite un processo automatico che garantisce che le autorizzazioni per gli oggetti rimangano coerenti. Queste autorizzazioni rimangono anche se si spostano gli oggetti in posizioni diverse in Active Directory. Se le autorizzazioni di un oggetto protetto vengono modificate, i processi esistenti assicurano che le autorizzazioni vengano restituite rapidamente alle impostazioni predefinite.

Gruppi protetti

Gli account e i gruppi di sicurezza seguenti sono protetti in Dominio di Active Directory Services:

• Account Operators
• Amministratore
• Amministratori
• Backup Operators
• Domain Admins
• Controller di dominio
• Amministratori Enterprise
• Krbtgt
• Print Operators
• Controller di dominio di sola lettura
• Replicator
• Schema Admins
• Server Operators

AdminSDHolder

Lo scopo dell'oggetto AdminSDHolder è fornire autorizzazioni "modello" per gli account e i gruppi protetti nel dominio. Nel contenitore Sistema di ogni dominio di Active Directory viene creato automaticamente un oggetto denominato AdminSDHolder. Il percorso è: CN=AdminSDHolder,CN=System,DC=<domain_component>,DC=<domain_component>?.

Mentre il gruppo Amministrazione istrators possiede la maggior parte degli oggetti in un dominio di Active Directory, il gruppo Domain Amministrazione s possiede l'oggetto Amministrazione SDHolder. Per impostazione predefinita, gli Amministrazione Enterprise possono apportare modifiche a qualsiasi oggetto Amministrazione SDHolder del dominio, in quanto possono i gruppi domain Amministrazione e Amministrazione istrators del dominio. Inoltre, anche se il proprietario predefinito di AdminSDHolder è il gruppo Domain Admins del dominio, i membri del gruppo Administrators o Enterprise Admins possono assumere la proprietà dell'oggetto.

SDProp

SDProp è un processo che viene eseguito ogni 60 minuti (per impostazione predefinita) nel controller di dominio che contiene l'emulatore PDC del dominio. SDProp confronta le autorizzazioni per l'oggetto AdminSDHolder del dominio con le autorizzazioni per gli account e i gruppi protetti nel dominio. Se le autorizzazioni per uno degli account e dei gruppi protetti non corrispondono alle autorizzazioni per l'oggetto Amministrazione SDHolder, SDProp reimposta le autorizzazioni per gli account e i gruppi protetti in modo che corrispondano a quelli configurati per l'oggetto Amministrazione SDHolder del dominio.

L'ereditarietà delle autorizzazioni è disabilitata per gruppi e account protetti. Anche se gli account e i gruppi vengono spostati in posizioni diverse nella directory, non erediteranno le autorizzazioni dai nuovi oggetti padre. L'ereditarietà è disabilitata anche nell'oggetto AdminSDHolder, in modo che le autorizzazioni apportate agli oggetti padre non modifichino le autorizzazioni di AdminSDHolder.

Modifica dell'intervallo SDProp

In genere, non è necessario modificare l'intervallo in cui viene eseguito SDProp, ad eccezione dei test. Se è necessario modificare l'intervallo SDProp, nell'emulatore PDC per il dominio usare regedit per aggiungere o modificare il valore DWORD AdminSDProtectFrequency in HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

L'intervallo di valori è espresso in secondi da 60 a 7200 (da un minuto a due ore). Per rimuovere le modifiche, eliminare la chiave Amministrazione SDProtectFrequency. L'eliminazione della chiave fa sì che SDProp torni all'intervallo di 60 minuti. In genere non è consigliabile ridurre questo intervallo nei domini di produzione perché può aumentare il sovraccarico di elaborazione LSASS nel controller di dominio. L'impatto di questo aumento dipende dal numero di oggetti protetti nel dominio.

Esecuzione manuale di SDProp

Un approccio migliore al test delle modifiche AdminSDHolder consiste nell'eseguire manualmente SDProp, causando l'esecuzione immediata dell'attività, ma non influisce sull'esecuzione pianificata. È possibile forzare l'esecuzione di SDProp usando Ldp.exe o eseguendo uno script di modifica LDAP. Per eseguire SDProp manualmente, seguire questa procedura:

1. Avviare Ldp.exe.

2. Nella finestra di dialogo Ldp fare clic su Connessione, quindi su Connetti.

3. Nella finestra di dialogo Connetti digitare il nome del controller di dominio per il dominio che contiene il ruolo Emulatore PDC e fare clic su OK.

   

4. Per verificare la connessione, verificare che Dn: (RootD edizione Standard) sia presente nello screenshot seguente. Fare quindi clic su Connessione ion e fare clic su Associa.

   

5. Nella finestra di dialogo Associa digitare le credenziali di un account utente autorizzato a modificare l'oggetto rootDSE. (Se si è connessi con tale utente, è possibile selezionare Associa come l'utente attualmente connesso.) Fare clic su OK.

   

6. Al termine dell'operazione di associazione, fare clic su Sfoglia e fare clic su Modifica.

7. Nella finestra di dialogo Modifica lasciare vuoto il campo DN. Nel campo Modifica attributo voce digitare RunProtectAdminGroupsTask e nel campo Valori digitare 1. Fare clic su Immettere per popolare l'elenco voci, come illustrato qui.

   

8. Nella finestra di dialogo Modifica popolata fare clic su Esegui e verificare che le modifiche apportate all'oggetto AdminSDHolder siano state visualizzate su tale oggetto.