Dans un environnement d’AD classique, les administrateurs ajoutent et enlèvent régulièrement des comptes à des groupes protégés. Par exemple, un compte pourrait demander momentanément des privilèges élevés pour effectuer une tâche spécifique. Dans de tels cas, la tâche Admin SDHolder s’applique au descripteur de sécurité associé à l’objet AdminSDHolder (comme
Retirer des comptes de groupes protégé

décrit précédemment) – mais ne revient pas au descripteur de sécurité précédent quand le compte est enlevé du groupe protégé.
De plus, la tâche AdminSDHolder ne supprime pas la valeur d’attribut adminCount de 1. A mon avis, ce comportement est très discutable parce qu’il laisse derrière lui un descripteur de sécurité qui a un héritage de permissions désactivé et une valeur d’attribut adminCount quelque peu trompeuse si on l’utilise pour des requêtes LDAP. J’aimerais mieux que la tâche AdminSDHolder puisse se remettre au net elle-même mais, malheureusement, ce n’est pas le cas dans la présente version de Windows.
Téléchargez cette ressource

Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les banques passent à l’action avec l’IA générative et le cloud
- DSI en assurance : gardien du temple ou moteur de la transformation ?
- Ransomware : persistance des cyberattaques à l’échelle mondiale
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
