> Tech > Qu’est-ce que AdminSDHolder ?

Qu’est-ce que AdminSDHolder ?

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Nombreux sont ceux qui utilisent le terme AdminSDHolder pour désigner le processus par lequel AD protège des groupes et comptes privilégiés. En réalité, c’est simplement le nom d’un objet AD.

L’objet AdminSDHolder est un objet conteneur dans la partition Domain Directory à CN= AdminSDHolder, CN=System,<Domain DN> -

Qu’est-ce que AdminSDHolder ?

par exemple, CN=AdminSDHolder, CN=System, DC=north, DC=com.

L’objet lui-même ne fait rien de spécial mais sert de paramètre fictif pour un descripteur de sécurité restreinte. La figure 3 montre un exemple du descripteur de sécurité de l’objet AdminSDHolder. Chaque heure, une tâche SAM d’arrière-plan s’exécute sur le DC (domain controller) qui contient les rôles FSMO (Flexible Single- Master Operation) de l’émulateur PDC. Cette tâche est, entre autres choses, chargée de vérifier si les descripteurs de sécurité des groupes et utilisateurs protégés correspondent à ceux de l’objet AdminSDHolder.

Si les descripteurs diffèrent, la tâche AdminSDHolder utilise le descripteur de sécurité de AdminSDHolder pour supplanter d’éventuelles permissions qui auraient été définies sur le groupe ou utilisateur en cause. Dans notre exemple précédent, la tâche AdminSDHolder a remplacé les permissions héritées que l’administrateur d’AD avait redéfinies sur le compte de James Smith, d’où la confusion.

La tâche AdminSDHolder définit aussi l’attribut adminCount de l’utilisateur ou du groupe, de <Not Set> à une valeur de 1. La figure 4 montre un exemple des attributs de James Smith vus au travers de l’outil ADSI Edit. Vous pouvez changer le descripteur de sécurité associé à l’objet AdminSDHolder, bien que je déconseille cette action. En effet, ce changement met à jour tous les utilisateurs et groupes protégés avec le nouveau descripteur de sécurité.

N’effectuez pas un tel changement à la légère : une configuration mal planifiée peut exposer votre environnement d’AD à tous les dangers. Par exemple, le fait d’attribuer au groupe Domain Users des permissions Full Control sur l’objet AdminSDHolder permettrait en fait à quiconque se trouve dans le domaine d’élever son appartenance de groupe au niveau Domain Admins.

Téléchargez cette ressource

État des lieux de la sécurité cloud-native

État des lieux de la sécurité cloud-native

L’État des lieux de la sécurité cloud-native vous offre une analyse complète des problématiques, des tendances et des priorités qui sous-tendent les pratiques de sécurité cloud-native dans le monde entier. Une lecture indispensable pour renforcer votre stratégie de sécurité dans le cloud. Une mine d’infos exclusives pour élaborer votre stratégie de sécurité cloud-native.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010