Active Directory 帐户操作员修改继承特权组的组

Active Directory 帐户操作员修改继承特权组的组

在 Active Directory 中,如果账户操作员默认情况下,可以将自己添加到属于以下组的组中:域管理员团体?

例如,我有一个名为第 3 级管理员是……的成员域管理员如下图所示:

群组

我控制的账户有权访问账户操作员组,但要记住账户操作员组不能修改受保护组,例如域管理员,这应该不可能吧?

在测试时,我发现事实并非如此,我确实可以将自己添加到第 3 级管理员组。第 3 层管理员是否不继承受保护组的 ACL域管理员? 这怎么可能?

下面是我的用户 jsmith 将我自己添加到第 3 级管理员分组为账户操作员,从而获得域管理员特权。

图像

答案1

自定义组不会自动添加到 Active Directory 中的 SDProp / AdminSDHolder 进程,只有某些组包含在此进程中(https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory#protected-groups

如果您希望将其他帐户添加到此过程中,我建议(实际上我自己也在使用)执行一个计划任务,该任务枚举我想要包含在该过程中的组成员,并确保这些组及其递归成员的 admin-count 属性设置为1

伪代码示例:

'Tier 3 Admins' | ForEach-Object {
    Get-AdGroupMember -Identity $_ -Recursive | Set-AdObject -Replace @{adminCount=1}
    Get-AdGroup -Identity $_ | Set-AdGroup -Replace @{adminCount=1}
}

其他想法和考虑:

  • 我真的很讨厌带空格的组名(但这纯粹是主观的,没有意义)
  • 您正在使用特权帐户 1) 使用 Invoke-Expression,2) 在连接到互联网的机器上,3) 在没有明确定义执行策略的机器上,以及 4) 直接从互联网执行未签名的脚本 - 对于任何想在家尝试此操作的人来说,这都是“不要这样做”的终极目标。

相关内容