AdminSDHolder Active Directory üzerindeki önemli izinlerin düzenlenmesinde kullanıldığı gibi, eğer ortamınıza yetkisiz bir erişim gerçekleşir veya AdminSDHolder objesine kötü niyetli kişiler tarafından kontrolü ele geçirebilecek izinler tanımlanırsa, bu durum yapınızda ciddi bir güvenlik açığı oluşturacaktır. Bu sebepten dolayı AdminSDHolder objesine ait izinlerin düzenli olarak kontrol edilmesi önerilmektedir.

AdminSDHolder üzerinde yetkisi bulunanlar Service Administrator’lar de değişiklik yapabilme hakkına sahiptirler. Örneğin; standart bir kullanıcının (Domain Users), default yapıda yetkili kullanıcı (Domain Admin) hesabının password’unu resetleme yetkisi bulunmamaktadır. Ancak AdminSDHolder üzerinde domain user’a verilen yetkiler ile domain admin hesabının şifresini resetleyebilmektedir.

Bu işlemi aşağıda bulunan powershell komutunu kullanarak gerçekleştirebilirsiniz.

Örnek Powershell Komutu:

dsacls.exe CN=AdminSDHolder,CN=System,DC=VOLSYS,DC=COM

İlgili komutu kendi yapınıza uygun olarak, domain bilgileriniz ile güncellemeniz gerekmektedir.

Yukarıda görüldüğü gibi Mari hesabının ADminSDHolder’da write property yetkisi bulunmaktadır. Ancak Active Directory’den baktığımızda Mari hiçbir grubun üyesi değildir yani yetkisiz bir kullanıcı hesabıdır.

Bu durumda Mari hesabı ADminSDHolder objesi üzerinde bulunan yetkisi sayesinde Domain Admin seviyesindeki bir hesabın şifresini değiştirerek, bu hesabı ele geçirebilmektedir.

Yapınızda ADminSDHolder yetkilerini düzenli olarak gözden geçirerek, bu tür durumların önüne geçebilir ve sizin bilginiz dahilinde olmayan bir değişiklik yapıldığında fark edebilirsiniz. Yönetimin yapılabilmesi için her zaman yetkilerin grup bazlı yapılması tavsiye edilmekte olup, ADminSDHolder üzerinde yapılan yada unutulan yetkiler daha sonra ciddi sorunlar çıkarabilir.