adminSD Holder Kullanıcı ve Grupları için ACL değişikliğinin geçerli olmama sorunu

Active Directory üzerinden bir OU için delegasyon yapmak istediniz ve delegasyon sibirbazi ile bu OU altindaki tüm kullanicilarin telefon numaralarini help desk çalisanlarindan Ali ye verdiniz. Yani özetle bu sayede OU altindaki tüm kullanicilarin güvenlik ayarlarinda ( ACL ) ilgili öz nitelik için ( attribute ) izin vermis oldunuz. Ancak bir süre sonra bu OU içerisindeki bazi kullanicilarda bu yetkilerin kayboldugunu ve isaretlemenize ragmen “Include inheritable permissions from this object’s parent” kutucugunun kendinden silindigini göreceksiniz. Bunun temel sebebi korunan yönetimsel gruplarin üyelerinin PDC rolüne sahip DC tarafindan her bir saatte yapilan ACL kontrolü sonrasi düzenlenmesidir. Çünkü PDC korunan bu gruplarin üyelerinin ACL sini  AdminSDHolder objesindeki ACL ile karsilastirir ve eger bir farklilik var ise bu durumda AdminSDHolder üzerindeki degerleri geri yükler. Bu gruplar asagidaki gibidir.

 

Enterprise Admins
Schema Admins
Domain Admins
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers

( Koruna varsayilan gruplara üye dagitim gruplarida bu koruma kapsamindadir, çünkü bu gruplar her an security grubuna çevrilebilir. )

Süreç nasil isliyor ? PDC rolü yüklü DC üzerinde AdminSDHolder Tread her saatte bir çalisarak admincound attribute degeri “0” dan yüksek olan objelerdeki ACL leri, AdminSDHolder objesi üzerindeki degere sifirlar. Bu obje ise asagidaki yolda bulunur

cn=AdminSdHolder,cn=System,dc=cozumpark,dc=com.

 

Bu AdminSDHolder process ( islemi ) sadece korunan gruplarin içerisindeki grup ve üyeleri için çalismaktadir. Ancak isterseniz varsayilan olarak gelen bu gruplar için ekleme çikarma yapma sansina sahipsiniz. Bunun için asagidaki makaleyi inceleyebilirsiniz

 

https://support.microsoft.com/kb/817433/en-us

Siz kendi yapiniz için kimlerin bu grup’ a dahil oldugunu veya hangi gruplarin bundan etkilendsigini ögrenmek için asagidaki powershell komutlarini kullanabilirsiniz

 

Get-ADgroup -LDAPFilter “(admincount=1)” | select name

Get-ADuser -LDAPFilter “(admincount=1)” | select name

 

Not; object attribute editor ile admincount’ i 1 den sifir yapmak isi çözmez, grup üyeligini çözmeniz gerekli.