■ 威海職業(yè)學(xué)院 趙永華

編者按： 在Windows Server 2016中有一種短期活動(dòng)目錄AD（Active Directory）組成員關(guān)系，而實(shí)現(xiàn)這種關(guān)系的就是系統(tǒng)中一個(gè)名為AdminSDHolder的對象，它用于管理內(nèi)置的特定AD組成員的訪問控制列表ACL。

在短期AD組成員關(guān)系中，當(dāng)添加用戶對象進(jìn)入特定的AD組 如 Account Operators時(shí)， 按 照AdminSDHolder對特定對象的管理機(jī)制，如果該賬戶在組中滯留超時(shí)，就會(huì)將該對象的adminCount屬性改寫為1，此即意味著該賬戶會(huì)被從特定組中移除，移除之后其屬性又恢復(fù)為0。

這里，完成adminCount屬性值設(shè)置的便是進(jìn)程SDPROP(Security Descriptor Propagation)，該進(jìn)程用于控制PDC Emulator FSMO角色，每小時(shí)都會(huì)在域控制器內(nèi)運(yùn)行。SDPROP的重要任務(wù)，就是護(hù)衛(wèi)高私密的AD賬戶，確保其不會(huì)被偶然短期進(jìn)入的弱權(quán)限用戶刪改。

SDPROP在運(yùn)行期間會(huì)對受保護(hù)賬戶的域進(jìn)行掃描，能夠取消權(quán)限繼承，并對鏡像AdminSDHolder容器的ACL的對象應(yīng)用訪問控制列表。但是如果SDPROP確定已禁用對象的權(quán)限繼承被取消，并且ACL與AdminSDHolder容器的ACL匹配，則adminCount不會(huì)設(shè)置為1。因此，adminCount屬性不能作為確定對象是否受保護(hù)的標(biāo)志。如果賬戶從特權(quán)組中被刪除，則adminCount屬性仍設(shè)為1并且繼承也處于被禁狀態(tài)。那么我們能否控制SDPROP呢？

如何控制SDPROP

在Windows Server 2016中不允許禁運(yùn)SDPROP，但可以改變其運(yùn)行頻率，并將一個(gè)甚至多個(gè)特定組從受保護(hù)名單中排除。比如，為了改變運(yùn)行頻率，只需對域控制器控制 PDC Emulator FSMO角色的內(nèi)容生成一個(gè)名為AdminSDProtect Frequencyon 的DWORD注冊值，將該值添加到如下主鍵：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters

AdminSDProtect Frequency的賦值范圍是60到7200秒(2小時(shí))。對于較大容量的目錄，如果設(shè)置為小于1小時(shí)，可能會(huì)為域控制器增加額外的負(fù)荷。盡管管理員可以自主修改AD中adminSDHolder容器內(nèi)的權(quán)限和繼承標(biāo)志，但一定要慎重。

如果要修改容器的ACL，可以從“服務(wù)器管理器”的工具菜單中打開ADSI編輯器， 連接到默認(rèn)命名空間，在System下即可找到adminSDHolder容器。例如，假設(shè)域名是ad.contoso.com，則路徑如下：

CN=adminSDHolder，CN=S ystem，DC=ad，DC=contoso，D C=com

同樣，也可以將某些特定組設(shè)置為免除被保護(hù)。比如我們想要移除一個(gè)名為Print Operators的組，其實(shí)就是取消了它對AD的訪問特權(quán)。如果要改變受保護(hù)的組，可以修改涉及以下內(nèi)容的dsHeuristics屬性：

CN=Directory Service，CN=Windows NT，CN=Services，CN=Configuration，DC=ad，DC=contoso，DC=com.

另外，如果想要訪問Directory Service容 器 ，從服務(wù)管理器程序打開ADSI編輯器，右點(diǎn)CN=Directory Service后選擇“屬性”，然后連接配置，從下拉菜單找 到dsHeuristics，即 可找到當(dāng)前受保護(hù)的組，包括 ：Account Operators、Server Operators、Print Operators以 及Backup Operators。