设想

设想

设想

Active Directory 有一个计划的后台进程,称为可持续发展政策定期检查并应用 AD 认为某些组(及其成员)的特定安全描述符(权限)受保护设置的权限源自管理员SDHolderAD 中的对象。

为了本次讨论的目的,我们将重点关注域管理员

看这里: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory

和这里: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups#default-security-groups

引用:

... 如果任何受保护帐户和组的权限与 AdminSDHolder 对象上的权限不匹配,则受保护帐户和组的权限将重置为与域的 AdminSDHolder 对象的权限匹配

更远,账户操作员默认情况下,具有管理域中所有用户/计算机/组对象的权限,除任何受保护的群体/成员外,得益于这个 SDProp 过程。

例如,尝试使用 Account Operator 修改域管理员帐户会导致拒绝访问错误。

问题

首要问题:

虽然他们不能调整这些受保护的账户,按照上述流程,账户操作员但是,删除它们!根据我对这种保护机制的理解,这应该是不可能的。

查看域管理员帐户的权限时,帐户操作员未列在任何地方。此外,对 AO 运行有效访问检查显示它只有读取权限/属性拒绝所有写入和删除权限. 这是预料之中的。

删除受保护帐户的能力似乎源自包含该帐户的 OU 上的 ACL,其中帐户操作员组拥有创建和删除用户对象在该 OU 内,拥有该对象的权限。

举个例子,如果我编辑该 ACE 并删除删除权限,上述问题就会消失,并且 AO 无法再删除域管理员。

第二期

如上所述,有效权限似乎隐藏了 AO 可以删除对象的事实。我真的不明白这一点。

需要回答的问题

  1. 为什么 OU 上的权限会覆盖 adminSDHolder 在受保护帐户上设置的权限?此过程的全部目的是防止任何特定的委派权限从任何地方应用于受保护帐户,以便保护他们。

  2. 为什么“有效访问”选项卡不能正确反映我是否能够根据 OU 权限删除此帐户?

答案1

有效权限似乎隐藏了 AO 可以删除对象的事实。我真的不明白这一点。

我喜欢这个安全身份发布了很多关于这个主题的帖子,我想我会参考并引用其中的相关部分,因为它与您的问题具体相关。

我认为这是一个好问题,一旦人们意识到这一点,他们就会想知道,如果使用帐户操作员是 AD 域环境中的标准做法 - 我当然从未尝试过使用帐户操作员删除域管理员成员 AD 帐户,但我过去曾支持过使用帐户操作员的环境,当时我是域管理员。

现在,如果我们查看有关删除 Active Directory 中的对象的选项,您可能已经看到有三种不同类型的删除:

  • 删除(DELETE 访问掩码)
  • 删除子项(ADS_RIGHT_DS_DELETE_CHILD 访问掩码)
  • 删除子树(ADS_RIGHT_DS_DELETE_TREE 访问掩码)

这里就变得有趣了。执行删除操作时,系统会先验证对象及其父对象的安全描述符,然后再允许或拒绝删除。

如果用户对父级具有删除子级访问权限,则明确拒绝用户删除子级访问权限的 ACE 将不起作用。同样,如果允许对象本身的删除访问权限,则可以覆盖拒绝父级删除子级访问权限的 ACE。

来源: 访问控制和对象删除

删除和删除子项的示例:

示例一:

我的管理员用户 Tony 没有 ACE:允许删除名为 Hank 的域管理员用户的访问权限。如果 Tony 在父 OU 上有 ACE:允许删除子用户,他仍然可以删除该帐户。

示例二

如果在 Hank 上设置了显式 ACE:拒绝删除访问权限。如果 Tony 在父 OU 上具有 ACE:允许删除子用户,他仍然可以删除该帐户。

如果我们反转它:Tony 最终进入 ACE:在父 OU 上拒绝删除子用户,如果他在用户对象的 ACE 中具有明确允许删除,他仍然可以删除它。

因此,我们可以看出,它AdminSDHolder Security Descriptor并不能在所有情况下真正保护管理员或嵌套组。如果您回顾有效权限图,您会发现 Tony 没有权限删除该用户。但他拥有父 OU 上的 ACE:允许删除子用户,因此可以删除属于域管理员组的 Hank。

默认权利

现在,当我们讨论删除访问权限时,最好考虑一下在 Active Directory 中谁默认拥有这些权力?除了管理员、域管理员、企业管理员等显而易见的权限之外,我们当然还有众所周知的 帐户操作员组

帐户操作员对用户、计算机、组和 InetOrgPerson 对象具有默认的显式完全控制权。他们没有在 AdminSDHolder 安全描述符上授予该显式访问权限,但他们在组织单位上具有显式创建/删除子用户、组、计算机和 InetOrgPerson 的权限。如果域管理员的父 OU 没有明确的拒绝删除子用户,AO 将能够删除域管理员用户。

(如果您能胜任这项任务,可以从 Schema 中定义的对象类的 defaultSecurityDescriptor 属性中删除它)

另一个角度是针对群组嵌套,如果用户通过群组嵌套拥有 DA 成员资格,则只需删除该群组,他们就不再是 DA。

这些就是我希望将管理 OU 分离为根 OU 以最大限度地降低错误委派风险的几个原因。

来源


支持资源

答案2

我认为您的误解来自于这样的假设:由于域管理员是一个受保护的组,因此其所有成员也受到保护。但事实并非如此。因此 AdminSDHolder 不适用于这些帐户。

文档从未明确说明这一点,但也没有说明域管理员成员被视为受保护。也没有说明帐户操作员不能删除域管理员组成员

参考:

相关内容