> Tech > Qu’est-ce que AdminSDHolder ?

Qu’est-ce que AdminSDHolder ?

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Nombreux sont ceux qui utilisent le terme AdminSDHolder pour désigner le processus par lequel AD protège des groupes et comptes privilégiés. En réalité, c’est simplement le nom d’un objet AD.

L’objet AdminSDHolder est un objet conteneur dans la partition Domain Directory à CN= AdminSDHolder, CN=System,<Domain DN> -

Qu’est-ce que AdminSDHolder ?

par exemple, CN=AdminSDHolder, CN=System, DC=north, DC=com.

L’objet lui-même ne fait rien de spécial mais sert de paramètre fictif pour un descripteur de sécurité restreinte. La figure 3 montre un exemple du descripteur de sécurité de l’objet AdminSDHolder. Chaque heure, une tâche SAM d’arrière-plan s’exécute sur le DC (domain controller) qui contient les rôles FSMO (Flexible Single- Master Operation) de l’émulateur PDC. Cette tâche est, entre autres choses, chargée de vérifier si les descripteurs de sécurité des groupes et utilisateurs protégés correspondent à ceux de l’objet AdminSDHolder.

Si les descripteurs diffèrent, la tâche AdminSDHolder utilise le descripteur de sécurité de AdminSDHolder pour supplanter d’éventuelles permissions qui auraient été définies sur le groupe ou utilisateur en cause. Dans notre exemple précédent, la tâche AdminSDHolder a remplacé les permissions héritées que l’administrateur d’AD avait redéfinies sur le compte de James Smith, d’où la confusion.

La tâche AdminSDHolder définit aussi l’attribut adminCount de l’utilisateur ou du groupe, de <Not Set> à une valeur de 1. La figure 4 montre un exemple des attributs de James Smith vus au travers de l’outil ADSI Edit. Vous pouvez changer le descripteur de sécurité associé à l’objet AdminSDHolder, bien que je déconseille cette action. En effet, ce changement met à jour tous les utilisateurs et groupes protégés avec le nouveau descripteur de sécurité.

N’effectuez pas un tel changement à la légère : une configuration mal planifiée peut exposer votre environnement d’AD à tous les dangers. Par exemple, le fait d’attribuer au groupe Domain Users des permissions Full Control sur l’objet AdminSDHolder permettrait en fait à quiconque se trouve dans le domaine d’élever son appartenance de groupe au niveau Domain Admins.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010