web-dev-qa-db-ja.com

ActiveDirectoryのセキュリティアクセス許可は自動的にリセットされます

Windows展開サービスがインストールされたServer2008 R2マシンがありますが、これは完全に機能します。ただし、しばらくすると(更新プログラムのインストール後に再起動する場合があります)、WDSを機能させるためにActiveDirectoryに適用されているセキュリティアクセス許可がリセットされます。

必要な設定は次のとおりです。

Domain Admins:  Full Control
Enteprise Admins:  Full Control
Account Operators:  Full Control
System:  Full Control
SELF:  Create All Child Objects, Delete All Child Objects, Validated write to DNS Host name, Validated write to service principal name, Read Personal Information, Write Personal Information

これらの設定は、それ自体のマシンとドメインコントローラーから適用しました。なぜこれが起こっているのかわかりません。他のAD設定がリセットされても問題はないようです。 AdminSDHolderについて読んだことがありますが、アクセス許可を手動で設定しているため、これが私の場合に当てはまるかどうかはわかりません。また、これに遭遇したのはこれが初めてですが、変更するのはベストプラクティスではないことも読みました。

ADにこれらの設定を保持させるにはどうすればよいですか?

2
GJKH

TechNet Magazineの記事で説明されているように "AdminSDHolder、Protected Groups and SDPROP" 、ActiveDirectoryは一連の「保護されたグループ」のメンバーを「保護」します。

Directory Service Agentは、60分ごとに、次のようなバックグラウンドジョブを実行します。

  1. すべての「保護された」オブジェクトを識別します。これらのオブジェクトでは、AdminCount属性が1の値に設定されます。
  2. (&(adminCount=1))に一致するオブジェクトごとに、AdminSDHolderコンテナオブジェクトからセキュリティ記述子をコピーし、保護されたオブジェクトに「スタンプ」を付けます。

このプロセスは、略して「セキュリティ記述子プロパゲーター」または「SDPROP」と呼ばれるものです。

Backup Operatorsはこれらの「保護されたグループ」の1つにすぎないため、コンピューターアカウントオブジェクトがBackup Operatorsのメンバーである場合、SDPROPはそのコンピューターアカウントオブジェクトのSDを「リセット」します。

最大1時間待たずにこの仮説をテストする場合は、PowerShellを起動し、ドメイン内の任意のドメインコントローラーのRootDSEに接続して、FixUpInheritanceルーチンを呼び出します(これはSDPROPが行うことです)とにかく内部的に)、そのように:

$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()

サーバーをBackup Operatorsグループから削除してから、オブジェクトのadminCount属性を手動で設定解除するか、AdminSDHolderオブジェクトのセキュリティ記述子を変更することができます。あなたは自分がしていることに自信がありません

2