In so gut wie jedem Unternehmen gibt es einen First- oder gerne auch Second Level Support oder eine Abteilung namens Managed Services, die unteranderem die Aufgabe haben, die Benutzer im Active Directory zu administrieren.
Dieser Personenkreis sollte unter guten Bedingungen mit abgespeckten Rechten (least previleges) arbeiten. In der Regel sollten diese Personen auf etwaige OUs delegiert werden und nur die Rechte bekommen die sie zur Ausführung ihrer Tätigkeit benötigen und nicht mehr.
Hin und wieder kommt es aber vor, dass nach der Bearbeitung/Pflege eines Accounts die zuvor entzogenen oder hinzugefügten Rechte, wie von Geisterhand wieder verschwinden oder vorhanden sind. – Was ist hier los?
Im Active Directory gibt es spezielle High Privileged Groups, die unter der Schirmherrschaft des AdminSDHolder stehen. Zu diesen Gruppen gehören die:
- Administrators
- Account Operators
- Server Operators
- Print Operators
- Backup Operators
- Domain Admins
- Schema Admins
- Enterprise Admins
- Cert Publishers sowie die Benutzer
- Administrator
- Krbtgt
Jedes Mitglied dieser Gruppen ob direkt oder indirekt wird als sehr schützenswert angesehen. Wenn jetzt z.B. eine Person aus den oben genannten Kreisen auf einer dieser schützenswerten Gruppen/Member Veränderungen an den Rechten vornehmen sollte, wird der AdminSDHolder dieses zu verhindern wissen.