O analista João administra o domínio Active Directory ad.tj....
Sendo assim, para que esta alteração de permissões persista ao longo do tempo, João deve adicionar as novas permissões no objeto de ad.tj.dft:
Gab. A
Adminsdholder
A finalidade do objeto AdminSDHolder é fornecer permissões de "modelo" para as contas e grupos protegidos no domínio. O AdminSDHolder é criado automaticamente como um objeto no contêiner do sistema de todos os domínios do Active Directory. Seu caminho é: CN=AdminSDHolder, CN=System, DC=<domain_component,DC>=<domain_component>?.
Ao contrário da maioria dos objetos no domínio do Active Directory, que pertencem ao grupo Administradores, o AdminSDHolder pertence ao grupo Administradores de Domínio. Por padrão, os EAs podem fazer alterações no objeto AdminSDHolder de qualquer domínio, assim como os grupos administradores e administradores do domínio. Além disso, embora o proprietário padrão do AdminSDHolder seja o grupo Administradores de Domínio do domínio, membros de Administradores ou Administradores Corporativos podem assumir a propriedade do objeto.
https://docs.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory
✍ GABARITO(A) ✅
AdminSDHolder - AdminSDHolder é um objeto interno do Active Directory que é responsável por garantir que as contas privilegiadas mantenham um conjunto de permissões pré-definidas. O AdminSDHolder funciona definindo um conjunto de permissões padrão que são aplicadas a todas as contas que possuem o atributo AdminCount definido como "1". O AdminSDHolder é criado automaticamente durante o processo de instalação e configuração do Active Directory em um controlador de domínio. Especificamente, o AdminSDHolder é criado como um objeto de segurança em um contêiner chamado "System" na raiz do domínio.
IIS_IUSRS - é um grupo interno do IIS 7 que tem acesso a todos os recursos de arquivo e sistema.
rootDSE - é definido como a raiz da árvore de dados de diretório em um servidor de diretório.
Krbtgt - é uma conta padrão que atua como uma conta de serviço para o serviço Key Distribution Center - KDC. Ela não pode ser excluída, não pode ter nome alterado e não pode ser habilitado no AD.
Replicação - é o método de transferir objetos de um DC para outro DC.
Fontes: Microsoft
https://www.linkedin.com/pulse/security-entendendo-o-objeto-adminsdholder-processo-sdprop-martins/?originalSubdomain=pt