Nombreux sont ceux qui utilisent le terme AdminSDHolder pour désigner le processus par lequel AD protège des groupes et comptes privilégiés. En réalité, c’est simplement le nom d’un objet AD.
L’objet AdminSDHolder est un objet conteneur dans la partition Domain Directory à CN= AdminSDHolder, CN=System,<Domain DN> -
Qu’est-ce que AdminSDHolder ?
par exemple, CN=AdminSDHolder, CN=System, DC=north, DC=com.
L’objet lui-même ne fait rien de spécial mais sert de paramètre fictif pour un descripteur de sécurité restreinte. La figure 3 montre un exemple du descripteur de sécurité de l’objet AdminSDHolder. Chaque heure, une tâche SAM d’arrière-plan s’exécute sur le DC (domain controller) qui contient les rôles FSMO (Flexible Single- Master Operation) de l’émulateur PDC. Cette tâche est, entre autres choses, chargée de vérifier si les descripteurs de sécurité des groupes et utilisateurs protégés correspondent à ceux de l’objet AdminSDHolder.
Si les descripteurs diffèrent, la tâche AdminSDHolder utilise le descripteur de sécurité de AdminSDHolder pour supplanter d’éventuelles permissions qui auraient été définies sur le groupe ou utilisateur en cause. Dans notre exemple précédent, la tâche AdminSDHolder a remplacé les permissions héritées que l’administrateur d’AD avait redéfinies sur le compte de James Smith, d’où la confusion.
La tâche AdminSDHolder définit aussi l’attribut adminCount de l’utilisateur ou du groupe, de <Not Set> à une valeur de 1. La figure 4 montre un exemple des attributs de James Smith vus au travers de l’outil ADSI Edit. Vous pouvez changer le descripteur de sécurité associé à l’objet AdminSDHolder, bien que je déconseille cette action. En effet, ce changement met à jour tous les utilisateurs et groupes protégés avec le nouveau descripteur de sécurité.
N’effectuez pas un tel changement à la légère : une configuration mal planifiée peut exposer votre environnement d’AD à tous les dangers. Par exemple, le fait d’attribuer au groupe Domain Users des permissions Full Control sur l’objet AdminSDHolder permettrait en fait à quiconque se trouve dans le domaine d’élever son appartenance de groupe au niveau Domain Admins.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Cloud souverain : répondre aux enjeux d’hybridation et de maîtrise des dépendances
- Cybermenaces 2026 : l’IA devient la nouvelle arme des attaquants
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
- Editeurs, crawlers et équipes sécurité, les alliances qui feront tenir le web
Articles les + lus
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
Adapter la sécurité OT aux réalités de l’industrie
Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
À la une de la chaîne Tech
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
- Adapter la sécurité OT aux réalités de l’industrie
- Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
- Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
