У меня есть машина Server 2008 R2 с установленными службами развертывания Windows, которые работают отлично. Однако через некоторое время (возможно, перезагрузка после установки обновлений) разрешения безопасности, применяемые в Active Directory, чтобы позволить WDS работать, сбрасываются.
Необходимые настройки:
Domain Admins: Full Control
Enteprise Admins: Full Control
Account Operators: Full Control
System: Full Control
SELF: Create All Child Objects, Delete All Child Objects, Validated write to DNS host name, Validated write to service principal name, Read Personal Information, Write Personal Information
Я применил эти настройки с самого компьютера и с контроллера домена. Я не уверен, почему это происходит, похоже, нет проблем с сбросом каких-либо других настроек AD. Я читал об AdminSDHolder, но не уверен, применимо ли это к моему случаю, поскольку я устанавливаю разрешения вручную - также я читал, что менять его - не лучшая практика, хотя, по общему признанию, я впервые столкнулся с этим.
Как я могу сохранить эти настройки в AD?
Как описано в статье журнала TechNet Magazine «AdminSDHolder, защищенные группы и SDPROP», Active Directory «защищает» членов набора «защищенных групп».
Каждые 60 минут агент службы каталогов запускает фоновое задание, которое:
AdminCount
атрибут установлен на значение 1
(&(adminCount=1))
, он копирует дескриптор безопасности из объекта контейнера AdminSDHolder и «маркирует» им защищенный объект.Этот процесс называется «Распространитель дескриптора безопасности» или для краткости «SDPROP».
Backup Operators
является лишь одной из этих «Защищенных групп», поэтому, если объект учетной записи компьютера является членом Backup Operators
, SDPROP "сбросит" SD на указанном объекте учетной записи компьютера.
Если вы хотите проверить эту гипотезу, не дожидаясь 1 часа, отключите PowerShell, подключитесь к RootDSE
любого контроллера домена в домене и вызовите FixUpInheritance
рутина (это то, что SDPROP в любом случае делает внутренне), например:
$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()
Вы можете удалить сервер из Backup Operators
группу, а затем вручную отключите adminCount
атрибут объекта, или вы можете изменить дескриптор безопасности объекта AdminSDHolder, хотя я бы настоятельно не советовал этого делать, если вы не уверены в том, что делаете