Los grupos protegidos del directorio activo.
Comprendiendo el funcionamiento de los grupos protegidos del directorio Activo. Como son y como funcionan: Propagador SD, FixUpInheritance, AdminSDHolder, SDPRO, AdminSDProtectFrequency, Problemas con la delegación de privilegios en Active Directory
Si has llegado hasta este artículo, probablemente tengas algún tipo de noción de directorio activo, y es probable que, lo que aquí contemos, lo sepas o por lo menos lo intuyas.
Tras varios años dando soporte a infraestructuras de directorio activo, han aparecido en varias ocasiones problemas relacionados con los grupos protegidos. Por lo tanto, la pregunta, a priori, es muy sencilla… ¿Porqué se elimina lo que configuro en las ACL’s de ciertos objetos del directorio, si he asignado que reciban los privilegios por herencia? según aclaremos conceptos iremos complicando el escenario para entender el alcance de todos estos conceptos y como se combinan unos con otros.
¿Qué son los grupos protegidos del directorio activo?
Los grupos protegidos del directorio activo son aquellos grupos sensibles de tener delegados ciertos privilegios especiales, y por tanto sus miembros no están sujetos a las mismas normas que otros usuarios. Mas adelante veremos el detalle de cuales son
¿Qué efectos tiene la membresía a grupos protegidos del directorio activo?
Cuando un objeto del AD pertenece a un grupo protegido, este objeto recibirá cada vez que ocurra una propagación SD (por defecto cada 60 minutos) la herencia de las entradas ACL’s de seguridad explícitamente indicadas en la ACL de AdminSDHolder
Clarito, verdad? Volvamos hacia atrás.
¿Qué es una propagación SD, SD Propagador?
Read more…