> Tech > Qu’est-ce que AdminSDHolder ?

Qu’est-ce que AdminSDHolder ?

Tech - Par iTPro - Publié le 24 juin 2010
email

Nombreux sont ceux qui utilisent le terme AdminSDHolder pour désigner le processus par lequel AD protège des groupes et comptes privilégiés. En réalité, c’est simplement le nom d’un objet AD.

L’objet AdminSDHolder est un objet conteneur dans la partition Domain Directory à CN= AdminSDHolder, CN=System,<Domain DN> -

Qu’est-ce que AdminSDHolder ?

par exemple, CN=AdminSDHolder, CN=System, DC=north, DC=com.

L’objet lui-même ne fait rien de spécial mais sert de paramètre fictif pour un descripteur de sécurité restreinte. La figure 3 montre un exemple du descripteur de sécurité de l’objet AdminSDHolder. Chaque heure, une tâche SAM d’arrière-plan s’exécute sur le DC (domain controller) qui contient les rôles FSMO (Flexible Single- Master Operation) de l’émulateur PDC. Cette tâche est, entre autres choses, chargée de vérifier si les descripteurs de sécurité des groupes et utilisateurs protégés correspondent à ceux de l’objet AdminSDHolder.

Si les descripteurs diffèrent, la tâche AdminSDHolder utilise le descripteur de sécurité de AdminSDHolder pour supplanter d’éventuelles permissions qui auraient été définies sur le groupe ou utilisateur en cause. Dans notre exemple précédent, la tâche AdminSDHolder a remplacé les permissions héritées que l’administrateur d’AD avait redéfinies sur le compte de James Smith, d’où la confusion.

La tâche AdminSDHolder définit aussi l’attribut adminCount de l’utilisateur ou du groupe, de <Not Set> à une valeur de 1. La figure 4 montre un exemple des attributs de James Smith vus au travers de l’outil ADSI Edit. Vous pouvez changer le descripteur de sécurité associé à l’objet AdminSDHolder, bien que je déconseille cette action. En effet, ce changement met à jour tous les utilisateurs et groupes protégés avec le nouveau descripteur de sécurité.

N’effectuez pas un tel changement à la légère : une configuration mal planifiée peut exposer votre environnement d’AD à tous les dangers. Par exemple, le fait d’attribuer au groupe Domain Users des permissions Full Control sur l’objet AdminSDHolder permettrait en fait à quiconque se trouve dans le domaine d’élever son appartenance de groupe au niveau Domain Admins.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010