Назад | Перейти на главную страницу

Разрешения безопасности Active Directory автоматически сбрасываются

У меня есть машина Server 2008 R2 с установленными службами развертывания Windows, которые работают отлично. Однако через некоторое время (возможно, перезагрузка после установки обновлений) разрешения безопасности, применяемые в Active Directory, чтобы позволить WDS работать, сбрасываются.

Необходимые настройки:

Domain Admins:  Full Control
Enteprise Admins:  Full Control
Account Operators:  Full Control
System:  Full Control
SELF:  Create All Child Objects, Delete All Child Objects, Validated write to DNS host name, Validated write to service principal name, Read Personal Information, Write Personal Information

Я применил эти настройки с самого компьютера и с контроллера домена. Я не уверен, почему это происходит, похоже, нет проблем с сбросом каких-либо других настроек AD. Я читал об AdminSDHolder, но не уверен, применимо ли это к моему случаю, поскольку я устанавливаю разрешения вручную - также я читал, что менять его - не лучшая практика, хотя, по общему признанию, я впервые столкнулся с этим.

Как я могу сохранить эти настройки в AD?

Как описано в статье журнала TechNet Magazine «AdminSDHolder, защищенные группы и SDPROP», Active Directory «защищает» членов набора «защищенных групп».

Каждые 60 минут агент службы каталогов запускает фоновое задание, которое:

  1. Определяет все «защищенные» объекты. У этих объектов будут свои AdminCount атрибут установлен на значение 1
  2. Для каждого объекта, который теперь соответствует (&(adminCount=1)), он копирует дескриптор безопасности из объекта контейнера AdminSDHolder и «маркирует» им защищенный объект.

Этот процесс называется «Распространитель дескриптора безопасности» или для краткости «SDPROP».

Backup Operators является лишь одной из этих «Защищенных групп», поэтому, если объект учетной записи компьютера является членом Backup Operators, SDPROP "сбросит" SD на указанном объекте учетной записи компьютера.

Если вы хотите проверить эту гипотезу, не дожидаясь 1 часа, отключите PowerShell, подключитесь к RootDSE любого контроллера домена в домене и вызовите FixUpInheritance рутина (это то, что SDPROP в любом случае делает внутренне), например:

$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()

Вы можете удалить сервер из Backup Operators группу, а затем вручную отключите adminCount атрибут объекта, или вы можете изменить дескриптор безопасности объекта AdminSDHolder, хотя я бы настоятельно не советовал этого делать, если вы не уверены в том, что делаете