The Secret of AdminSDHolder and adminCount in Active Directory

Hallo zusammen,

Krzlich hatte ich einen ziemlich kniffligen Fall zu lsen. Im Active Directory wurden delegationen eingerichtet. Bei einigen User Objekten gingen die vererbten Security Rechte aber immer wieder verloren. Das war ziemlich misteris...

Auf dem PDC Emulator luft einmal pro Stunde ein Prozess, welcher prft ob das adminCount Attribut auf 1 gesetzt ist und ob der UserAccount mitglied einer dieser Gruppen ist.

  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
  • Domain Controllers
  • Cert Publishers
  • Backup Operators
  • Replicator Server Operators
  • Account Operators
  • Print Operators

Ist dies der Fall, so werden bei deisem Account die selben Security Settings gesetzt, welcher im AD unter System\AdminSDHoler gesetzt sind.

Ich setze auf dem User Account das Attribut adminCount auf 1 und fge den User zu den Domain Admins hinzu.

Im Moment schein noch alles ziemlich normal auszusehen.

Doch wie von selbst wird das Objekt verndert.

Und die Security Settings sind verndert :o) - Den Grund kennt ihr ja jetzt...

Einige Links zu diesem Thema:
Grsse
Andres Bohren