我有一台安装了 Windows 部署服务的 Server 2008 R2 计算机,它运行良好。但是一段时间后(可能是安装更新后重新启动),Active Directory 中应用的允许 WDS 工作的安全权限被重置。
所需设置如下:
Domain Admins: Full Control
Enteprise Admins: Full Control
Account Operators: Full Control
System: Full Control
SELF: Create All Child Objects, Delete All Child Objects, Validated write to DNS host name, Validated write to service principal name, Read Personal Information, Write Personal Information
我已经从机器本身和域控制器应用了这些设置。我不确定为什么会发生这种情况,似乎没有其他 AD 设置被重置的问题。我读过有关 AdminSDHolder 的信息,但不确定这是否适用于我的情况,因为我正在手动设置权限 - 我也读过更改它不是最佳做法,尽管不可否认这是我第一次遇到这种情况。
我怎样才能让 AD 保留这些设置?
答案1
正如 TechNet 杂志文章中解释的那样“AdminSDHolder、受保护组和 SDPROP”,Active Directory“保护”一组“受保护组”的成员。
每 60 分钟,目录服务代理运行一次后台作业:
- 识别所有“受保护”的对象。这些对象的
AdminCount属性随后将设置为1 - 对于现在匹配的每个对象
(&(adminCount=1)),它从 AdminSDHolder 容器对象复制安全描述符,并用它“标记”受保护的对象。
这个过程就是所谓的“安全描述符传播器”或简称“SDPROP”。
Backup Operators只是这些“受保护组”之一,因此如果计算机帐户对象是的成员Backup Operators,SDPROP 将“重置”该计算机帐户对象上的 SD。
如果您想在不等待 1 小时的情况下测试这个假设,请打开 PowerShell,连接到RootDSE域中任何域控制器并调用FixUpInheritance例程(无论如何,这是 SDPROP 在内部执行的操作),如下所示:
$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()
您可以从组中删除服务器Backup Operators,然后手动取消adminCount设置对象的属性,或者您可以更改 AdminSDHolder 对象的安全描述符,但如果您对自己所做的事情没有信心,我强烈建议您不要这样做