Какие минимальные разрешения необходимы для управления политиками DNS в Server 2016?
Я реализую политики DNS, пишу сценарии PowerShell для определенных задач, и, конечно, я не хочу планировать эти задачи как администраторы домена; Я хочу использовать учетную запись службы с минимальными привилегиями.
Дело в том, что я не могу понять, что и где нужно. AD включает группу DnsAdmins , но этого недостаточно.
Компоненты политики DNS
По существу, в политиках DNS есть 3 новых элемента:
- Области зоны
- Подсети клиентов
- Политики
Области зоны являются частью самой зоны, Но добавить один не удается.
Напротив, пользователь домена, не являющийся членом DnsAdmins , не может прочитать запись подсети клиента (в разрешении отказано).
Код
# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
Таким образом, документация отсутствует. , Я не понимаю, как правильно делегировать разрешения для этого.
Ну, это не окончательный ответ, который я ищу, но это что-то; Я надеюсь, что будет больше ответов.
Я обнаружил, что член группы BUILTIN \ Administrators домена имеет достаточные разрешения для политик DNS.
Это не удивительно, поскольку по сути это администратор домена. без административного доступа к рядовым компьютерам.
Я бы действительно хотел найти что-то более ограниченное, но сейчас я собираюсь сделать это.
Это может быть вызвано тем, что разрешения на группу безопасности DnsAdmins не добавляются автоматически во вновь создаваемые интегрированные зоны Active Directory. Чтобы обойти эту проблему, вы должны вручную добавить группу безопасности DnsAdmins в список контроля доступа к зонам (ACL) и предоставить полный контроль.
Есть 3 способа сделать это:
1.Использовать инструмент Dsacls.exe.
2.Use Active Directory Service Interfaces (ADSI) Editor
3.Use DNS manager.
Вы можете проверить этот KB от Microsoft для получения подробной информации: KB837335