6 votes

Salve avatar

Le personnel d'assistance peut réinitialiser certains mots de passe d'utilisateurs mais pas tous ?

Demandé el 7 de Juillet, 2022
Quand la question a-t-elle été
1660 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans notre environnement, nous avons deux comptes AD par personne, un compte de niveau utilisateur et un compte de niveau administrateur. Notre personnel d'assistance ne peut réinitialiser que les comptes de niveau utilisateur, ce qui est une bonne chose, mais je n'arrive pas à comprendre pourquoi. Voici les autorisations ADUC sur le domaine supérieur : ADUC permissions

Quelle est la cause de l'impossibilité de réinitialiser les comptes d'administrateur ? Les comptes administrateurs ne font pas partie d'un groupe d'administrateurs global (Domain Admins, etc.).

Demandé el 7 de Juillet, 2022 par Salve

Réponses

Trop de publicités?

12voto

Manu avatar
Manu Points 111

Est-il possible qu'ils aient fait partie du groupe Domain Admins ? Si c'est le cas, l'héritage des permissions de l'OU sera désactivé pour eux et vous devrez le réactiver manuellement.

Répondu el 7 de Juillet, 2022 par Manu (111 Points )

8voto

mhrzn avatar
mhrzn Points 198

C'est un choix délibéré.

En règle générale, le personnel d'assistance de niveau inférieur (même les comptes secondaires privilégiés) doit pas ont la possibilité de réinitialiser les mots de passe des comptes administratifs de niveau supérieur. Cela est considéré comme une escalade potentielle des privilèges. Un administrateur de niveau inférieur peut réinitialiser le mot de passe d'un administrateur de niveau supérieur, prendre le contrôle du compte et potentiellement posséder le réseau.

Pour se prémunir contre ce risque, AD dispose d'un mécanisme intégré qui garantit que les délégations erronées ne sont pas héritées par des comptes considérés comme hautement privilégiés. Une liste complète des groupes couverts par ce mécanisme est disponible ici : https://docs.microsoft.com/en-us/Windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory#protected-groups

Le processus SDProp signale tous les comptes qui sont des membres récursifs de ces groupes en définissant l'attribut adminCount à une valeur de 1. Ensuite, l'héritage est désactivé pour chacun de ces comptes et les autorisations NTDS sont modifiées/mises à jour pour correspondre à l'ACL de l'objet AdminSDHolder. Ainsi, toutes les heures, l'héritage est désactivé et l'ACL est réinitialisé à une valeur de base connue.

Ce processus permet de s'assurer que l'ACL d'un compte protégé ne dérive pas d'une base définie - de sorte que vous ne déléguez pas accidentellement la capacité d'un administrateur junior à réinitialiser le mot de passe d'un administrateur de domaine - ou que vous ne bloquez pas accidentellement (de façon permanente) l'accès d'un administrateur à cette fonction.

Ainsi, si vous devez modifier l'ACL sur des objets sensibles/privilégiés (bien que je vous déconseille de le faire dans ce cas), vous devez d'abord modifier l'ACL sur l'objet AdminSDHolder, et laisser les autorisations passer par le processus SDProp.

Le processus SDProp définit l'attribut adminCount à 1, mais il n'existe pas de processus correspondant qui efface cet attribut (null/empty est la valeur par défaut). Ainsi, tout compte qui était privilégié et qui ne l'est plus sera toujours affecté par ce processus. Si vous vous trouvez dans cette situation, l'action appropriée serait d'effacer l'attribut et de réactiver l'héritage sur l'objet.

Répondu el 7 de Juillet, 2022 par mhrzn (198 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X