Sincronizar dados do serviço de diretório
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Sincronizar dados do serviço de diretório.
Referência
Esta configuração de política determina quais usuários e grupos têm autoridade para sincronizar todos os dados de serviço de diretório, independentemente da proteção para objetos e propriedades. Esse privilégio é necessário para usar os serviços de sincronização de diretório (dirsync) LDAP. Controladores de domínio têm esse direito de usuário inerentemente porque o processo de sincronização é executado no contexto da conta Sistema em controladores de domínio.
Constante: SeSyncAgentPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Assegure-se de que nenhuma conta receba o direito de usuário Sincronizar dados do serviço de diretório. Apenas controladores de domínio precisam desse privilégio, o que eles têm inerentemente.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração não é definida em controladores de domínio e em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Não definido |
Configurações Padrão de Servidor Autônomo |
Não definido |
Configurações padrão efetivas do controlador de domínio |
Habilitada |
Configurações padrão efetivas do servidor membro |
Desabilitadas |
Configurações padrão efetivas do computador cliente |
Desabilitadas |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar essa política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
O direito de usuário Sincronizar dados do serviço de diretório afeta controladores de domínio (somente controladores de domínio devem ser capazes de sincronizar dados do serviço de diretório). Controladores de domínio têm esse direito de usuário inerentemente porque o processo de sincronização é executado no contexto da conta Sistema em controladores de domínio. Invasores com esse direito de usuário podem exibir todas as informações armazenadas dentro do diretório. Em seguida, eles poderiam usar algumas dessas informações para facilitar ataques adicionais ou expor dados confidenciais, como números de telefone diretos ou endereços físicos.
Contramedida
Assegure-se de que nenhuma conta receba o direito de usuário Sincronizar dados do serviço de diretório.
Impacto em potencial
Nenhum. Não definido é a configuração padrão.