Active Directory安全攻防(五) 在前几篇文章中,我们深入探讨了 Active Directory 的访问控制列表(ACL)机制、SDProp 安全描述符传播器以及 AdminSDHolder 容器的保护原理。我们了解到,AD 中对象的权限来源是多层次的——既有通过组织单位(OU)委派的权限,也有 SDProp 机制为高权限账户强制设定的权限。然而,还有一个常被忽视但同样重要的权限来源:Schema(架构)中定义的默认权限。每当 Active Directory 创建一个新对象(如用户、计算机、组等),系统并不是从零开始构建其安全描述符的。相反,AD 会从 Schema 中读取该对象类预定义的默认安全描述符,作为新对象的初始权限模板。这些默认权限使用一种名为SDDL(Security Descriptor Definition Language,安全描述符定义语言)的专用字符串格式进行定义。理解 Schema 默认权限和 SDDL 语法,对于安全审计、权限分析以及攻防研究都至关重要。本文将详细解析这一机制。一、AD 对象权限的三大来源在深入 Schema 默认权限之前,让我们先回顾一下 Active Directory 中对象权限的完整来源体系:权限来源描述适用范围Schema 默认权限