¿Qué es AdminSDHolder en Active Directory?

El propósito del objeto AdminSDHolder es proporcionar una "plantilla" de permisos para las cuentas y grupos protegidos en un dominio de Active Directory, AdminSDHolder es creado de manera automática como un objeto del contenedor System en cada dominio, su ruta es: CN=AdminSDHolder,CN=System,DC=,DC=

Al contrario de muchos objetos en Active Directory cuyo propietario es el grupo Administradores, AdminSDHolder tiene como propietario el grupo Domain Admins, de manera predeterminada los miembros del grupoEnterprise Admins pueden hacer cambios en el objeto AdminSDHolder, sin embargo aunque el propietario de este objeto es el grupo Domain Admins, los miembros del grupo Administrators y Enterprise Admins pueden tomar propiedad de este objeto.

Pero, mejor de manera gráfica veamos cómo funciona este objeto, si se compara la lista de control de acceso (ACL) de un grupo protegido, por ejemplo Domain Admins con la del objeto AdminSDHolder se puede apreciar que son exactamente iguales.

Si revisamos la ACL de cualquier cuenta o grupo protegido podemos ver que tiene siempre la misma ACL y esta ACL es simplemente un reflejo de la ACL del objeto AdminSDHolder, pero dónde encontramos dicho objeto?

En la consola Usuarios y Equipos de Active Directory podemos ver el contenedor System y al expandirlo veremos el objeto AdminSDHolder

Simplemente hacemos clic derecho sobre el objeto, propiedades, y seleccionamos la pestaña Seguridad para ver la ACL que se propaga sobre las cuentas y grupos protegidos.

Ahora, hagamos una prueba, utilicemos una cuenta protegida y modifiquemos su ACL, agreguemos un usuario llamado John Smith y otorgemosle control total sobre la cuenta protegida Usuario1

Bien, hasta este momento el usuario John Smith tiene control sobre la cuenta protegida Usuario1, de igual modo pudo haber modificado la ACL de un grupo protegido, por ejemplo Domain Admins, es en este momento que entra en acción el objeto AdminSDHolder y "protegerá" la ACL del objeto modificado, en este caso la cuenta Usuario1, y la tarea es sencilla, simplemente remplazar la ACL del objeto modificado por la ACL del objeto AdminSDHolder.

Como podemos apreciar, en la ACL de Usuario1 ya no se encuentra la entrada para el usuario John Smith que se agregó en el paso anterior, esto debido a que el proceso automático se encargó de establecer la ACL de la cuenta protegida.

En resumen, el objeto AdminSDHolder contiene los permisos predeterminados de todas las cuentas y grupos protegidos, si no sabes cuáles son puedes revisar este artículo, si una ACL de cualquiera de los objetos protegidos es modificada, ésta será restablecida tomando como base la ACL definida en el objeto AdminSDHolder.