AdminSDHolder Nedir ve ne gibi güvenlik açıklıklarına sebep olabilir , nasıl kullanılır bu yazımızda bunu detaylıca anlatacağız. AdminSDHolder objesi Protected Users grouplarına izinlerin düzenlenmesinde ortaya çıkmaktadır. Amaç AdminSDHolder aslında bir template gibi kullanılarak protected user gruplarına uygulanır . Burada uygulanan ACL izinleridir. Örnek olarak bir kullanıcı herhangi bir yetkiye sahip olmayan bir domain user olsun. Bu kullanıcıya Admin SDHolder üzerinde yetki verilirse , bu kullanıcı domain admin seviyesinde işlemler yapabilme yeteneği kazanabilir. Aslında arka planda işlemler otomatik olarak yürümektedir.
Objelerin izinleri PDC üzerinden SD Propagator yani SDPROP tetiklenerek gerçekleşir. Bu ayar default olarak 60 dakikada bir olmaktadır. Bu sebepten dolayı bu obje üzerinde gerçekleşen izin işlemleri kontrol edilmelidir. Buraya herhangi bir kullanıcı ekleme işlemi sonucunda oluşabilecek güvenlik açıklıklarını tahmin edebiliyorsunuz.
Admin SDHolder objesi System>AdminSDHolder da bulunmaktadır.Herhangi bir kullanıcının admin count attribute değiştiğinde bu işlemler olmaktadır.
Admin count attributelarının bir olan kullanıcıları bulmanız için ;
Get-ADgroup -LDAPFilter “(admincount=1)” | select nameDefault olarak kritik grupların bulunduğu göreceksiniz. Bu obje üzerinde olan değişiklikler takip edilmezse güvenlik açıklıkları ortaya çıkabilmektedir.
Diğer yazılarımızı aşağıdaki kategorilerden takip edebilirsiniz.