我们需要授予将活动目录复制目录更改的服务标识。 人们担心我们可能会不小心让服务ID在Active Directory中写入数据,或让别人滥用服务ID并更改Active Directory数据。
有人知道什么权利是“复制目录更改?”的一部分
http://support.microsoft.com/kb/303972
注意使用这两种方法之一,为林中的每个域设置“复制目录更改”权限,都可以在Active Directory林中发现域中的对象。 但是,启用连接目录的发现并不意味着可以执行其他操作。
要使用非pipe理帐户在Active Directory中创build,修改和删除对象,可能需要根据需要添加其他权限。 例如,对于Microsoft元目录服务(MMS)在组织单位(OU)或容器中创build新用户对象,必须明确授予正在使用的帐户的“创build所有子对象”权限,因为“复制目录更改”权限不是足以允许创build对象。
以类似的方式删除对象需要删除所有子对象权限。
其他操作可能存在限制,例如属性stream,具体取决于分配给所讨论对象的特定安全设置,以及是否inheritance是一个因素。
现有的答案并不能满足我的好奇心,我不希望别人从我的目录中得到更多的东西。 所以我做了更多的挖掘。
主要信息在这里:
http://support.microsoft.com/kb/891995
分解:
如果你想同步你的程序的数据库与AD(如sharepoint / FIM),你有两种方法来问AD自上一次查询以来有什么变化。
您可以使用“DirSync”控件(LDAP协议扩展), 或者你可以去一个贫民窟,只使用uSNChanged轮询 – 但是有限制。
“DirSync控件search将返回对Active Directory对象所做的所有更改,而不考虑在对象上设置的权限。 它甚至会返回墓碑的对象。
因此,要使用DirSync LDAP控制,您需要“复制目录更改”,或者是域pipe理员。
从我能够收集的信息来看,唯一可怕的是他们几乎可以读取目录分区中的任何内容,而不pipe标准权限如何。 他们不能改变任何事情。
然而,你可能有一些属性在你的目录中很敏感。
有关DirSync控制扩展的更多信息,请:
https://msdn.microsoft.com/en-us/library/ms677626(v=vs.85).aspx
真实testing:使用DirSync控件连接到AD
这是你自己find的真正方法。 这家伙是男人 如果你想自己看看 – 调整这个PowerShell示例,以你授权的用户身份运行它,然后查询用户对象(或其他)。
http://dloder.blogspot.com/2012/01/powershell-dirsync-sample.html
我检查了我们的Sharepoint帐户,看看我能找回什么。 在我授予权限之前,在尝试使用DirSync控件时遇到拒绝访问exception。
有一次,我回到了用户帐户上的几乎所有东西:
在用户查询中返回的值得注意的安全相关属性,我敢肯定,如果没有提升权限,通常无法看到这些属性:
我还检出了附有BitLocker恢复密码的计算机帐户,该属性在返回的结果中不可用。
如果你曾经在你的环境中使用Unix服务,并且同步了pw的话,那么你可以在这里留下剩余的数据。 我们的一个用户已经在他的账户上了很久了。 破解这个pw可能会导致一个当前密码,只是试图改变它。
这已经从我们的环境中删除,所以新用户在这里没有任何数据。
滥用(IMO)这个权利的最大风险是它可以用来模仿DCPROMO。 似乎可以使用此权限来撤回密码的散列值,这距离各种攻击只有很短的一步。
在dsinternals.com上有一个很好的例子来certificate一些错误的复制目录更改权限:
https://www.dsinternals.com/en/retrieving-active-directory-passwords-remotely/
要委派要在Active Directory中复制的服务,您必须启用作为委派的接收和接收 。
事实上,“复制目录更改”权限不授予DCPROMO权限,也不可能使用此权限撤回用户密码的散列值。
为了获得对用户密码哈希的访问,有必要授予“复制目录全部更改”。 欲了解更多信息,请参阅https://social.technet.microsoft.com/Forums/windowsserver/en-US/cc72be66-30c4-420e-8de3-9085858037bc/difference-between-replicating-directory-changes-replicating-d