Attribute für AD User : adminCount
Im Active Directory Attribut adminCount deutet darauf hin, dass das betreffende Objekt zu den Protected Objects gehört oder in der Vergangenheit gehört hat. In diesem Fall ist der Wert von adminCount = 1. Ansonsten ist das Attribut garnicht vorhanden oder auf 0 gesetzt.
adminCount
| LDAP Name | adminCount |
| Datentyp | Integer (max 64) |
| Multivalue (Array) | Nein |
| System Flags | 0x10 |
| Search Flags | 0x00 |
| Im Global Catalog? | Nein |
| Attribute ID | 1.2.840.113556.1.4.150 |
| AD DB Attributname | Admin-Count |
| ADSI datatype | 7 - Numeric |
| LDAP syntax | 1.3.6.1.4.1.1466.115.121.1.27 - Integer |
| Wird verwendet in ... | > W2K |
| Schema Doku | Microsoft - MSDN |
Protected Objects sind hoch privilegierte administrative Gruppen (z.B. Domain Admins, Schema Admins, Account Operators etc.) und deren Mitglieder. Auch indirekte Mitglieder (Mitglieder von Gruppen, die ihrerseits Mitglied in den genannten Systemgruppen sind) geh?ren zu den Protected Objects. Der AdminSDHolder Mechanismus sorgt daf?r, dass die Rechte-Vererbung von Protected Objects unterbrochen wird und eine spezielle Berechtigungsvorlage auf diesen Objekten angewandt wird. Dies soll die Objekte vor unberechtigtem Zugriff sch?tzen.
BILD
Doch Vorsicht: Ein adminCount von 1 bedeutet also nicht, dass ein Objekt momentan Protected ist! Und ein adminCount von 0 bedeutet erst recht nicht, dass bei dem Objekt eine normale Rechtevererbung vorherrscht und es kein Protected Object ist. Wenn man hier sichergehen will, braucht man eine Analyse der ACL (Berechtigungsvererbung) und der Gruppenmitgliedschaften.