Nombreux sont ceux qui utilisent le terme AdminSDHolder pour désigner le processus par lequel AD protège des groupes et comptes privilégiés. En réalité, c’est simplement le nom d’un objet AD.
L’objet AdminSDHolder est un objet conteneur dans la partition Domain Directory à CN= AdminSDHolder, CN=System,<Domain DN> -
Qu’est-ce que AdminSDHolder ?
par exemple, CN=AdminSDHolder, CN=System, DC=north, DC=com.
L’objet lui-même ne fait rien de spécial mais sert de paramètre fictif pour un descripteur de sécurité restreinte. La figure 3 montre un exemple du descripteur de sécurité de l’objet AdminSDHolder. Chaque heure, une tâche SAM d’arrière-plan s’exécute sur le DC (domain controller) qui contient les rôles FSMO (Flexible Single- Master Operation) de l’émulateur PDC. Cette tâche est, entre autres choses, chargée de vérifier si les descripteurs de sécurité des groupes et utilisateurs protégés correspondent à ceux de l’objet AdminSDHolder.
Si les descripteurs diffèrent, la tâche AdminSDHolder utilise le descripteur de sécurité de AdminSDHolder pour supplanter d’éventuelles permissions qui auraient été définies sur le groupe ou utilisateur en cause. Dans notre exemple précédent, la tâche AdminSDHolder a remplacé les permissions héritées que l’administrateur d’AD avait redéfinies sur le compte de James Smith, d’où la confusion.
La tâche AdminSDHolder définit aussi l’attribut adminCount de l’utilisateur ou du groupe, de <Not Set> à une valeur de 1. La figure 4 montre un exemple des attributs de James Smith vus au travers de l’outil ADSI Edit. Vous pouvez changer le descripteur de sécurité associé à l’objet AdminSDHolder, bien que je déconseille cette action. En effet, ce changement met à jour tous les utilisateurs et groupes protégés avec le nouveau descripteur de sécurité.
N’effectuez pas un tel changement à la légère : une configuration mal planifiée peut exposer votre environnement d’AD à tous les dangers. Par exemple, le fait d’attribuer au groupe Domain Users des permissions Full Control sur l’objet AdminSDHolder permettrait en fait à quiconque se trouve dans le domaine d’élever son appartenance de groupe au niveau Domain Admins.
Téléchargez cette ressource
Créer des agents dans Microsoft 365 Copilot
Insight vous guide dans l’utilisation de la nouvelle expérience de création d’agents dans Microsoft Copilot Studio, disponible dans Copilot Chat. Découvrez les étapes clés pour concevoir, configurer et déployer ces nouveaux agents et injecter la puissance de l’IA directement dans le flux de travail.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Les 6 étapes vers un diagnostic réussi
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Full Cloud : une transformation numérique inévitable pour les entreprises ?
- Pilotage de la DSI : lucidité, exigences et engagement
- Les entreprises n’ont plus le luxe d’expérimenter l’IA
- Le changement, moteur d’engagement au travail
Articles les + lus
Alliée ou menace ? Comment l’IA redessine le paysage cyber
CES 2026 : l’IA physique et la robotique redéfinissent le futur
Les 3 prédictions 2026 pour Java
Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
Face à l’urgence écologique, l’IT doit faire sa révolution
À la une de la chaîne Tech
- Alliée ou menace ? Comment l’IA redessine le paysage cyber
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 3 prédictions 2026 pour Java
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- Face à l’urgence écologique, l’IT doit faire sa révolution
