Funcionamiento del AdminsdHolder en Directorio Activo

Buenas,

A raíz de una consulta que he recibido esta semana por mail me gustaría aprovechar para comentar que es AdminsdHolder y como está relacionado el mismo con la consulta que he recibida esta semana.

En la consulta que recibí me preguntaban sobre la manera para delegar un grupo de directorio activo para que los miembros del mismo pudieran agregar y eliminar miembros del grupo account operators puesto que definían los permisos editando la seguridad del grupo account operators y al rato se deban cuenta de que las acls del mismo habían vuelto a tener los valores iniciales.

La explicación de todo esto se basa en el Adminsdholder, puesto que este es un mecanismo de seguridad que se ejecuta cada hora en los dcs el cual define los permisos de los grupos de protegidos con la misma definición de permisos definida el Adminsdholder con el objetivo de garantizar la seguridad de los grupos protegidos de directorio activo como pueden ser Enterprise admin, domain admins, schema admins, account operators y server operators.

Como normalmente las imágenes suelen ser más explicativas que las palabras pasamos a realizar una demostración.

1- En un entorno de demo he añadió la cuenta testsam con permisos de control total en la cuenta del Enterprise admin

2- Al volver a comprobar un poco más tarde podemos observar que la acl de seguridad de la cuenta del Enterprise admin se ha vuelto al valor inicial.

3- Si Abrimos la consola de usuarios y equipos de directorio activo y vamos system, adminsdholder y accedemos a sus propiedades para ver la opciones de seguridad observamos que son las misma que se han definido al usuario del Enterprise admin

Con esto quiero explicar que si por algún motivo queremos modificar los permisos de las grupos a las cuentas protegidas debemos de modificar los permisos del adminsdholder y siempre aplicarán a todas las cuentas y grupos protegidos, por lo que será muy recomendable dejar estos valores por defecto y definir la de otra manera sin usar cuentas y grupos protegidos.

Espero que resulte de utilidad.

Un saludo

Samuel López posted at 2017-1-29 Category: Articulos IT