O analista João administra o domínio Active Directory ad.tj....

Próximas questões
Com base no mesmo assunto
Q1933287
Sistemas Operacionais Estrutura do Sistema Operacional , Administração de usuários (AD - Active Directory) ,
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV - 2022 - TJ-DFT - Analista Judiciário - Suporte em Tecnologia da Informação |
Q1933287 Sistemas Operacionais
O analista João administra o domínio Active Directory ad.tj.dft e precisa atribuir novas permissões ao usuário administrador RaizSD_u. O usuário RaizSD_u é membro de um grupo protegido do Active Directory.
Sendo assim, para que esta alteração de permissões persista ao longo do tempo, João deve adicionar as novas permissões no objeto de ad.tj.dft:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: A - AdminSDHolder

Em um contexto de Active Directory (AD), a administração de permissões é uma tarefa crítica para a segurança e operação correta do ambiente. A questão aborda um cenário onde um usuário é membro de um grupo protegido dentro do AD e necessita receber novas permissões que devem ser persistentes ao longo do tempo.

Os grupos protegidos no Active Directory são um conjunto de grupos com significado especial e que possuem um tratamento de segurança diferenciado. Eles incluem grupos como Administrators, Domain Admins, Enterprise Admins, entre outros. O AD possui um mecanismo de segurança que periodicamente verifica e reforça as permissões desses grupos protegidos, bem como de seus membros, a partir de um objeto chamado AdminSDHolder.

O objeto AdminSDHolder está localizado na OU (Unidade Organizacional) System do domínio e contém as definições de permissão de segurança que serão aplicadas a todos os grupos protegidos e seus membros. Isso serve para garantir que tais contas tenham um nível consistente de permissões de segurança e que não sejam inadvertidamente rebaixadas.

Quando permissões são atribuídas diretamente a um usuário que é membro de um grupo protegido de forma inconsistente com as definições do AdminSDHolder, o processo de reforço, conhecido como SDProp (Security Descriptor Propagator), que ocorre aproximadamente a cada 60 minutos, reverte as alterações para manter a consistência com o que está definido no AdminSDHolder.

Portanto, para assegurar que as novas permissões atribuídas ao usuário RaizSD_u persistam, é necessário modificar as permissões no objeto AdminSDHolder. Isso vai assegurar que o processo de SDProp aplique essas permissões de forma consistente, mantendo as alterações realizadas pelo analista João.

Por essa razão, a alternativa A - AdminSDHolder é a correta, pois é a única que se alinha à necessidade de atribuir permissões persistentes a um usuário membro de um grupo protegido do Active Directory.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Gab. A

Adminsdholder

A finalidade do objeto AdminSDHolder é fornecer permissões de "modelo" para as contas e grupos protegidos no domínio. O AdminSDHolder é criado automaticamente como um objeto no contêiner do sistema de todos os domínios do Active Directory. Seu caminho é: CN=AdminSDHolder, CN=System, DC=<domain_component,DC>=<domain_component>?.

Ao contrário da maioria dos objetos no domínio do Active Directory, que pertencem ao grupo Administradores, o AdminSDHolder pertence ao grupo Administradores de Domínio. Por padrão, os EAs podem fazer alterações no objeto AdminSDHolder de qualquer domínio, assim como os grupos administradores e administradores do domínio. Além disso, embora o proprietário padrão do AdminSDHolder seja o grupo Administradores de Domínio do domínio, membros de Administradores ou Administradores Corporativos podem assumir a propriedade do objeto.

https://docs.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory

✍ GABARITO(A) ✅

AdminSDHolder - AdminSDHolder é um objeto interno do Active Directory que é responsável por garantir que as contas privilegiadas mantenham um conjunto de permissões pré-definidas. O AdminSDHolder funciona definindo um conjunto de permissões padrão que são aplicadas a todas as contas que possuem o atributo AdminCount definido como "1".  O AdminSDHolder é criado automaticamente durante o processo de instalação e configuração do Active Directory em um controlador de domínio. Especificamente, o AdminSDHolder é criado como um objeto de segurança em um contêiner chamado "System" na raiz do domínio.

IIS_IUSRS - é um grupo interno do IIS 7 que tem acesso a todos os recursos de arquivo e sistema.

rootDSE - é definido como a raiz da árvore de dados de diretório em um servidor de diretório.

Krbtgt - é uma conta padrão que atua como uma conta de serviço para o serviço Key Distribution Center - KDC. Ela não pode ser excluída, não pode ter nome alterado e não pode ser habilitado no AD.

Replicação - é o método de transferir objetos de um DC para outro DC.

Fontes: Microsoft

https://www.linkedin.com/pulse/security-entendendo-o-objeto-adminsdholder-processo-sdprop-martins/?originalSubdomain=pt

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas