ActiveDirectoryのセキュリティアクセス許可は自動的にリセットされます
Windows展開サービスがインストールされたServer2008 R2マシンがありますが、これは完全に機能します。ただし、しばらくすると(更新プログラムのインストール後に再起動する場合があります)、WDSを機能させるためにActiveDirectoryに適用されているセキュリティアクセス許可がリセットされます。
必要な設定は次のとおりです。
Domain Admins: Full Control
Enteprise Admins: Full Control
Account Operators: Full Control
System: Full Control
SELF: Create All Child Objects, Delete All Child Objects, Validated write to DNS Host name, Validated write to service principal name, Read Personal Information, Write Personal Information
これらの設定は、それ自体のマシンとドメインコントローラーから適用しました。なぜこれが起こっているのかわかりません。他のAD設定がリセットされても問題はないようです。 AdminSDHolderについて読んだことがありますが、アクセス許可を手動で設定しているため、これが私の場合に当てはまるかどうかはわかりません。また、これに遭遇したのはこれが初めてですが、変更するのはベストプラクティスではないことも読みました。
ADにこれらの設定を保持させるにはどうすればよいですか?
TechNet Magazineの記事で説明されているように "AdminSDHolder、Protected Groups and SDPROP" 、ActiveDirectoryは一連の「保護されたグループ」のメンバーを「保護」します。
Directory Service Agentは、60分ごとに、次のようなバックグラウンドジョブを実行します。
- すべての「保護された」オブジェクトを識別します。これらのオブジェクトでは、
AdminCount属性が1の値に設定されます。 (&(adminCount=1))に一致するオブジェクトごとに、AdminSDHolderコンテナオブジェクトからセキュリティ記述子をコピーし、保護されたオブジェクトに「スタンプ」を付けます。
このプロセスは、略して「セキュリティ記述子プロパゲーター」または「SDPROP」と呼ばれるものです。
Backup Operatorsはこれらの「保護されたグループ」の1つにすぎないため、コンピューターアカウントオブジェクトがBackup Operatorsのメンバーである場合、SDPROPはそのコンピューターアカウントオブジェクトのSDを「リセット」します。
最大1時間待たずにこの仮説をテストする場合は、PowerShellを起動し、ドメイン内の任意のドメインコントローラーのRootDSEに接続して、FixUpInheritanceルーチンを呼び出します(これはSDPROPが行うことです)とにかく内部的に)、そのように:
$RDSE = [ADSI]"LDAP://dc01.my.domain.tld/RootDSE"
$RDSE.Put("FixUpInheritance",1)
$RDSE.SetInfo()
サーバーをBackup Operatorsグループから削除してから、オブジェクトのadminCount属性を手動で設定解除するか、AdminSDHolderオブジェクトのセキュリティ記述子を変更することができます。あなたは自分がしていることに自信がありません