Dans un environnement d’AD classique, les administrateurs ajoutent et enlèvent régulièrement des comptes à des groupes protégés. Par exemple, un compte pourrait demander momentanément des privilèges élevés pour effectuer une tâche spécifique. Dans de tels cas, la tâche Admin SDHolder s’applique au descripteur de sécurité associé à l’objet AdminSDHolder (comme
Retirer des comptes de groupes protégé
décrit précédemment) – mais ne revient pas au descripteur de sécurité précédent quand le compte est enlevé du groupe protégé.
De plus, la tâche AdminSDHolder ne supprime pas la valeur d’attribut adminCount de 1. A mon avis, ce comportement est très discutable parce qu’il laisse derrière lui un descripteur de sécurité qui a un héritage de permissions désactivé et une valeur d’attribut adminCount quelque peu trompeuse si on l’utilise pour des requêtes LDAP. J’aimerais mieux que la tâche AdminSDHolder puisse se remettre au net elle-même mais, malheureusement, ce n’est pas le cas dans la présente version de Windows.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
