Chaque objet utilisateur dispose d’un attribut « adminCount » visible depuis l’éditeur d’attribut de l’objet par exemple :
Si cet attribut est à « 1 » et que le compte n’est plus membre d’un groupe protégé, c’est-à-dire un groupe étant présent pour l’ACL de l’objet AdminSDHolder, l’héritage est par défaut resté désactivé.
En effet, par défaut, toutes les heures un processus d’arrière-plan (SDPROP) s’exécute sur le contrôleur de domaine qui détient le rôle “PDC Emulator”. Ce processus est en charge de comparer l’ACL de l’objet AdminSDHolder avec celle de tous les comptes appartenant à des “groupes protégés”.
Si l’ACL est différente, elle est écrasée et remplacée par celle de l’objet AdminSDHolder.
Il est important de noter que cette ACL est très restrictive et qu’elle a pour effet secondaire de désactiver l’option d’héritage d’ACL qui proviendrait d’un niveau supérieur.
C’est de cette manière qu’il est possible d’observer que des permissions “sautent” périodiquement sur certains comptes.
Malheureusement, une fois que vous retirez ces comptes d’un groupe protégé, alors, l’héritage reste toujours désactivé. Ce qu’il faut maintenant c’est passer l’Attribut AdminCount à 0 pour les comptes qui ne sont plus membres d’un groupe protégé puis de réactiver l’héritage.
Vous pouvez suivre l’article suivant où un script est fourni vous permettant de corriger le problème :
https://support.microsoft.com/fr-fr/kb/817433
En effet, ce script vérifie l’indicateur d’héritage pour tous les utilisateurs, disposant de l’attribut adminCount qui est défini sur 1. Si l’héritage est désactivé (SE_DACL_PROTECTED), le script réactivera l’héritage. Si l’héritage est déjà activé, l’héritage restera activé. Puis la valeur de l’attribut adminCount sera remis à 0. Lorsque le processus SDProp s’exécutera de nouveau, il désactivera l’héritage et repassera à 1 l’attribut adminCount pour tous les utilisateurs qui restent membres d’au moins un des groupes protégés. Par conséquent, l’attribut adminCount et l’héritage seront définies correctement pour tous les utilisateurs qui ne sont plus membres de groupes protégés.
Pensez à bien effectuer une sauvegarde de l’ensemble des ACL des comptes qui seront impactés avant action !
Merci.