ZEDA.nl

ZEDA.nl

Tips & Tweaks voor Windows

Gebruikerswaardering:  / 0
ZwakZeer goed 

Protected groups uitgelegd

Bij een klant wilde ik een delegatiemodel inrichten waarbij ik een bepaalde groep de rechten wilde geven om accounts van beheerders te unlocken. Via de delegation wizard was dit zo geregeld en de tests verliepen soepel.

Later viel het op dat de verschillende accounts niet ontgrendeld konden worden, omdat de permissions op deze accounts niet goed stonden. Vreemd, maar daar zal ik wel overheen gekeken hebben dacht ik, dus ik zet de rechten handmatig goed.

De dag erna zie ik weer accounts waarvan de rechten niet goed staan. Dit keer van gebruikers waarvan ik 100% zeker wist dat ik deze recht getrokken had. Andere accounts in dezelfde OU bleven echter wel goed staan. Waar komt dit vreemde gedrag vandaan?

Na flink zoeken - net voordat de manen met witte pakken me in de dwangbuis wilde hijsen - kwam ik een verlossend knowledgebase artikel tegen waarin stond dat dit by design is. Microsoft blijkt een beveiliging ingebouwd te hebben die er voor zorgt dat de permissions op bepaalde userobjecten niet gewijzigd kunnen worden. Dat wil zeggen, ze kunnen wel gewijzigd worden, maar eens per uur wordt dit dan weer teruggedraaid.

Het effect uitgelegd

Ieder uur loopt er een proces wat de permissions op bepaalde build-in groepen en op hun leden bekijkt. Als dit proces ziet dat de rechten gewijzigd zijn, zet deze ze weer terug op de oorspronkelijke waarde.

Het gaat hierbij om de volgende groepen

Account Operators
Administrator
Administrators
Backup Operators
Cert Publishers
Domain Admins
Domain Controllers
Enterprise Admins
Krbtgt
Print Operators
Read-only Domain Controllers (windows 2008R2)
Replicator
Schema Admins
Server Operators

Om precies te zijn, worden de permissions gereset naar voorbeeld van de permissions op de AD container Domain\System\AdminSDHolder.

Met eigen ogen zien

Je kunt dit gedrag zelf makkelijk testen door een account aan een van deze groepen toe te voegen en daarna de permissions van dat userobject te wijzigen. Je zult zien dat de wijziging in de ACL op den duur weer vanzelf ongedaan is gemaakt.

Dit artikel is van toepassing op: Windows 2003, Windows 2008, Windows 2012.

ZEDA.nl

Tips & Tweaks for Windows

Meest gelezen:

Ad:

Tools:

EU e-Privacy Directive

Deze site gebruikt cookies voor analytics, advertenties en voor functionele doeleinden. Wilt u de cookies toestaan?

You have declined cookies. This decision can be reversed.

You have allowed cookies to be placed on your computer. This decision can be reversed.