> Tech > Retirer des comptes de groupes protégé

Retirer des comptes de groupes protégé

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Dans un environnement d’AD classique, les administrateurs ajoutent et enlèvent régulièrement des comptes à des groupes protégés. Par exemple, un compte pourrait demander momentanément des privilèges élevés pour effectuer une tâche spécifique. Dans de tels cas, la tâche Admin SDHolder s’applique au descripteur de sécurité associé à l’objet AdminSDHolder (comme

Retirer des comptes de groupes protégé

décrit précédemment) – mais ne revient pas au descripteur de sécurité précédent quand le compte est enlevé du groupe protégé.

De plus, la tâche AdminSDHolder ne supprime pas la valeur d’attribut adminCount de 1. A mon avis, ce comportement est très discutable parce qu’il laisse derrière lui un descripteur de sécurité qui a un héritage de permissions désactivé et une valeur d’attribut adminCount quelque peu trompeuse si on l’utilise pour des requêtes LDAP. J’aimerais mieux que la tâche AdminSDHolder puisse se remettre au net elle-même mais, malheureusement, ce n’est pas le cas dans la présente version de Windows.

Téléchargez cette ressource

Guide de Cyber-résilience pour Microsoft 365

Guide de Cyber-résilience pour Microsoft 365

La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010