AdminSDHolder Permissions

AdminSDHolder Active Directory üzerindeki önemli izinlerin düzenlenmesinde kullanıldığı gibi, eğer ortamınıza yetkisiz bir erişim gerçekleşir veya AdminSDHolder objesine kötü niyetli kişiler tarafından kontrolü ele geçirebilecek izinler tanımlanırsa, bu durum yapınızda ciddi bir güvenlik açığı oluşturacaktır. Bu sebepten dolayı AdminSDHolder objesine ait izinlerin düzenli olarak kontrol edilmesi önerilmektedir.

AdminSDHolder üzerinde yetkisi bulunanlar Service Administrator’lar de değişiklik yapabilme hakkına sahiptirler. Örneğin; standart bir kullanıcının (Domain Users), default yapıda yetkili kullanıcı (Domain Admin) hesabının password’unu resetleme yetkisi bulunmamaktadır. Ancak AdminSDHolder üzerinde domain user’a verilen yetkiler ile domain admin hesabının şifresini resetleyebilmektedir.

Bu işlemi aşağıda bulunan powershell komutunu kullanarak gerçekleştirebilirsiniz.

Powershell Komutu:

dsacls.exe CN=AdminSDHolder,CN=System,DC=VOLSYS,DC=COM

Yukarıda görüldüğü gibi Mari hesabının ADminSDHolder’da write property yetkisi bulunmaktadır. Ancak Active Directory’den baktığımızda Mari hiçbir grubun üyesi değildir yani yetkisiz bir kullanıcı hesabıdır.

Bu durumda Mari hesabı ADminSDHolder objesi üzerinde bulunan yetkisi sayesinde Domain Admin seviyesindeki bir hesabın şifresini değiştirerek, bu hesabı ele geçirebilmektedir.