Избегайте чрезмерного использования защищенных групп

Опубликовано: 24 Марта, 2023

Защищенные группы — это специальные встроенные группы, которые используются для предоставления прав администратора пользователям. К этим группам относятся:



  • Администраторы предприятия
  • Администраторы схемы
  • Администраторы домена
  • Операторы счетов
  • Северные операторы
  • Операторы резервного копирования
  • Операторы печати

и некоторые другие. Если вы хотите предоставить кому-то определенные привилегии на вашем сервере, вы можете сделать его членом соответствующей защищенной группы. Например, чтобы дать кому-то право создавать резервные копии файлов на вашем сервере, вы просто делаете его членом группы операторов резервного копирования.


Звучит как отличная идея, но слишком много хорошего может быть плохим (как я знаю по опыту, когда я съел целый пирог с орехами на десерт, после этого я заболел). Проблема в том, что Active Directory следит за этими группами, чтобы убедиться, что никто не изменит права, которые у них есть, или разрешения, которые у них есть на ресурсы. AD делает это, создавая специальный поток с именем AdminSdHolder/DsPropagator и запуская этот поток один раз в час.


Так что же может пойти не так? Что ж, если у вас есть много учетных записей пользователей, которые являются членами разных защищенных групп, то каждый час вы можете видеть, что загрузка ЦП на контроллере домена эмулятора PDC достигает 100% в течение определенного периода времени, поскольку этот поток выполняет свою работу по обслуживанию.. Если вы видите, что это происходит, вам нужно либо (а) переместить роль эмулятора PDC на более мощную машину, либо (б) уменьшить количество членов ваших защищенных групп.


На самом деле, помимо администраторов предприятия/схемы/домена, вы можете вообще не использовать другие защищенные группы, а вместо этого создать свои собственные группы безопасности и назначить необходимые права этим группам, настроив соответствующие параметры безопасности/локальные политики/пользовательские настройки. Настройка назначения прав в групповой политике. Эти группы, которые вы создаете сами для резервного копирования, восстановления, принтеров, учетных записей и других целей администрирования второго уровня, не окажут никакого влияния на загрузку ЦП вашего эмулятора PDC.


Митч Таллох ( MVP Windows Server ) — известный отраслевой эксперт в области администрирования и безопасности Windows и автор четырнадцати книг, включая « Энциклопедию сетей Microsoft », «Энциклопедию безопасности Microsoft », «Взломы Windows Server» и «Администрирование IIS6 ». Митч живет в Виннипеге, Канада, и является президентом MTIT Enterprises, компании по разработке ИТ-контента. Вы можете найти больше информации о нем на его сайте www.mtit.com