Active Directory 帐户操作员修改继承特权组的组

Question

自定义组不会自动添加到 Active Directory 中的 SDProp / AdminSDHolder 进程，只有某些组包含在此进程中（https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory#protected-groups）

如果您希望将其他帐户添加到此过程中，我建议（实际上我自己也在使用）执行一个计划任务，该任务枚举我想要包含在该过程中的组成员，并确保这些组及其递归成员的 admin-count 属性设置为1。

伪代码示例：

'Tier 3 Admins' | ForEach-Object {
    Get-AdGroupMember -Identity $_ -Recursive | Set-AdObject -Replace @{adminCount=1}
    Get-AdGroup -Identity $_ | Set-AdGroup -Replace @{adminCount=1}
}

其他想法和考虑：

我真的很讨厌带空格的组名（但这纯粹是主观的，没有意义）
您正在使用特权帐户 1) 使用 Invoke-Expression，2) 在连接到互联网的机器上，3) 在没有明确定义执行策略的机器上，以及 4) 直接从互联网执行未签名的脚本 - 对于任何想在家尝试此操作的人来说，这都是“不要这样做”的终极目标。

Answer 1

自定义组不会自动添加到 Active Directory 中的 SDProp / AdminSDHolder 进程，只有某些组包含在此进程中（https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory#protected-groups）

如果您希望将其他帐户添加到此过程中，我建议（实际上我自己也在使用）执行一个计划任务，该任务枚举我想要包含在该过程中的组成员，并确保这些组及其递归成员的 admin-count 属性设置为1。

伪代码示例：

'Tier 3 Admins' | ForEach-Object {
    Get-AdGroupMember -Identity $_ -Recursive | Set-AdObject -Replace @{adminCount=1}
    Get-AdGroup -Identity $_ | Set-AdGroup -Replace @{adminCount=1}
}

其他想法和考虑：

我真的很讨厌带空格的组名（但这纯粹是主观的，没有意义）
您正在使用特权帐户 1) 使用 Invoke-Expression，2) 在连接到互联网的机器上，3) 在没有明确定义执行策略的机器上，以及 4) 直接从互联网执行未签名的脚本 - 对于任何想在家尝试此操作的人来说，这都是“不要这样做”的终极目标。

Active Directory 帐户操作员修改继承特权组的组

答案1

相关内容