The Secret of AdminSDHolder and adminCount in Active Directory

Hallo zusammen,

Kürzlich hatte ich einen ziemlich kniffligen Fall zu lösen. Im Active Directory wurden delegationen eingerichtet. Bei einigen User Objekten gingen die vererbten Security Rechte aber immer wieder verloren. Das war ziemlich misteriös...

Auf dem PDC Emulator läuft einmal pro Stunde ein Prozess, welcher prüft ob das adminCount Attribut auf 1 gesetzt ist und ob der UserAccount mitglied einer dieser Gruppen ist.

  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
  • Domain Controllers
  • Cert Publishers
  • Backup Operators
  • Replicator Server Operators
  • Account Operators
  • Print Operators

Ist dies der Fall, so werden bei deisem Account die selben Security Settings gesetzt, welcher im AD unter System\AdminSDHoler gesetzt sind.

Ich setze auf dem User Account das Attribut adminCount auf 1 und füge den User zu den Domain Admins hinzu.

Im Moment schein noch alles ziemlich normal auszusehen.

Doch wie von selbst wird das Objekt verändert.

Und die Security Settings sind verändert :o) - Den Grund kennt ihr ja jetzt...

Einige Links zu diesem Thema:
Grüsse
Andres Bohren