据我了解,影子管理员是指,如果用户帐户对现有管理员帐户拥有强大的权限,则该用户帐户将成为影子管理员。同样,任何其他对影子管理员拥有强大权限的帐户也会成为影子管理员。如果 SDProps 覆盖了所有管理员帐户的权限,那么影子管理员风险如何可能存在?
影子管理员参考:
https://www.silverfort.com/blog/the-hidden-dangers-of-shadow-admins/
示例:Bob 是域管理员组的成员。Alice 是普通域用户。Alice 具有重置 Bob 帐户密码的权限。这意味着 Alice 可以重置 Bob 的密码,然后以 Bob 的身份登录并执行需要域管理员权限的任务。这使 Alice 成为 1 级影子管理员。现在 Larry 是另一个普通域用户。Larry 具有重置 Alice 帐户密码的权限。这意味着 Larry 可以重置 Alice 的密码,以 Alice 的身份登录,更改 Bob 的密码,然后以 Bob 的身份登录并执行需要域管理员权限的任务。这使 Larry 成为 2 级影子管理员。
来自 Microsoft Document(https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory), SDProp 是一个在拥有域的 PDC 模拟器 (PDCE) 的域控制器上每 60 分钟(默认情况下)运行一次的进程。SDProp 将域的 AdminSDHolder 对象上的权限与域中受保护的帐户和组的权限进行比较。如果任何受保护的帐户和组的权限与 AdminSDHolder 对象上的权限不匹配,SDProp 将重置受保护的帐户和组的权限以匹配为域的 AdminSDHolder 对象配置的权限
现在,如果 SDProps 重置 Bob 帐户的权限以匹配 AdminSDHolder 对象权限,那么影子管理员是否有可能存在于 AD 环境中?
答案1
默认情况下,安装 Active Directory 的用户已成为域管理员,即最高形式的管理员,除非您执行某些特定操作来创建较低级别的管理员(您需要做的不仅仅是创建用户,还需要添加组策略或为用户设置特定权限),否则其他管理员用户与主管理员平等,他们可以互相编辑,也可以编辑自己。
如果您确实想取消特权,事情就会变得更加困难,只要您在域控制器上有一个管理员帐户,您就可以随时恢复更改。
如果您不信任具有管理员访问权限的人,您可以设置管理员访问权限但限制他们的访问权限或修改权限。