# AdminSDHolder

当我们支配了整个域甚至森林之后，我们想要在域内维持高特权。我们可以通过多种技术实现域内访问持久化，有些技术在之前内容已经涉及过了，例如对高特权的主机 (例如配置非约束委派的) 实现本地持久化、对高特权的主体施加 ACL (例如 GenericAll) 等。接下来，我们介绍一些尚未讨论过的域持久化技术。

AdminSDHolder 是一个具有一些默认安全权限的特殊 AD 容器，用作**受保护的帐户和组 (**如域管理员、企业管理员等) 的模板，以防止它们被有意或无意的修改，并确保他们的安全。

```
Account Operators
Backup Operators
Server Operators
Print Operators
Domain Admins
Replicator
Enterprise Admins
Domain Controllers
Read-only Domain Controllers
Scheme Admins
Administrators
```

这样做的目的是确保高权限帐户具有更强的安全描述符，以防止非特权帐户更改他们的权限。称为**安全描述符传播器** (SDProp) 的进程**每小时**运行一次，以强制将 AdminSDHolder 安全描述符应用到所有受保护的组及其成员。例如，我们赋予一用户对 Domain Admins 组 Full Control 的 DACL，大概在 60 分钟后，该 ACE 会消失。但是 AdminSDHolder 本身不被保护，因此如果我们修改对它的 DACL，这些更改将被复制到后续对象。因此，即使管理员在域管理员等特权群组上看到了恶意的 DACL 并将其删除，在 AdminSDHolder 的作用下，恶意 DACL 也会再次被还原以及重新应用。

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-06/scaled-1680-/yuOeKoDpt0ZUhUrA-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-06/yuOeKoDpt0ZUhUrA-image.png)