Toto je opravdu stručný článek o tom co je a k čemu slouží objekt v ActiveDirectory „AdminSDHolder„ (objekt v security/Advanced nemá povolené dědění by default !)
AdminSDHolder je objekt, který najdete v Active Directory Users and Computers (ADUC) konzoli po povolení „Advanced Features“ ve view „zobrazit“, ale předpokládám, že moc z vás českou lokalizaci serveru nemá ….
AdminSDHolder má na starost chránit tzv. „protected groups“ před změnou v ACL. Na starost ho má FSMO PDC. Jestliže někdo změní na jmenované skupině oprávnění, přidá třeba domain user-ovi právo modify na Domain Admins skupinu, během následující hodiny se toto oprávnění odstraní. Každou hodinu se totiž by default kontoluje stav ACL a jestliže nesedí dle výchozího stavu, systém (PDC) ACL vrátí do původního stavu. Všechny objekty (user, groups), které jsou a nebo byly členy těchto skupin, mají hodnotu atributu AdminCount=1 (odstraňuje dědění na těchto objektech), tato hodnota s už sama od sebe nikdy nevrátí zpět. Toto má však za následek, že se při zapnutí dědění na objektu s hodnotou atributu AdminCount=1, nebudou správně dědit práva z nadřazených objektů. AdminCount můžete nastavit na <not set> přes ADSIEDIT nástroj, nebo nástroj ADUC přes tab Attribute Editor.
| Windows 2000 Server RTM | Windows 2000 Server with SP4 | Windows Server 2003 with SP1 ,SP2 | Windows Server 2008,R2, Windows Server 2012, R2 |
| Administrators | Account Operators | Account Operators | Account Operators |
| Domain Admins | Administrator | Administrator | Administrator |
| Enterprise Admins | Administrators | Administrators | Administrators |
| Schema Admins | Backup Operators | Backup Operators | Backup Operators |
| Cert Publishers | Domain Admins | Domain Admins | |
| Domain Admins | Domain Controllers | Domain Controllers | |
| Domain Controllers | Enterprise Admins | Enterprise Admins | |
| Enterprise Admins | Krbtgt | Krbtgt | |
| Krbtgt | Print Operators | Print Operators | |
| Print Operators | Replicator | Read-only Domain Controllers | |
| Replicator | Schema Admins | Replicator | |
| Schema Admins | Server Operators | Schema Admins | |
| Server Operators | Server Operators |
Malá ukázka: (opravdu jsem oprávnění send as, neodstranil ručně :)) – Ukázka, jak může nastat problém, jestliže používáte domain admin účet s mailboxem v MS Exchange a budete chtít někomu dovolit posílat za admina email (oprávnění send as)
Toto je mimochodem způsob, jak kontrolu ACL, která je default jednou za hodinu, urychlit (v mém případě se ale stejně kontrola ACL projevila o něco později, než po akci viz.níže )
Použit nástroj ldp.exe
Tady už vidíme, že uživatel user1 není v seznamu uveden.
Více informací najdete zde: https://technet.microsoft.com/cs-cz/magazine/2009.09.sdadminholder(en-us).aspx
