Назад | Перейти на главную страницу

Какие минимальные разрешения необходимы для управления политиками DNS в Server 2016?

Я реализую политики DNS, пишу сценарии PowerShell для определенных задач, и, конечно же, я не хочу планировать эти задачи как администраторы домена; Я хочу использовать учетную запись службы с минимальными привилегиями.

Дело в том, что я не могу понять, что и где нужно. AD включает DnsAdmins группа, но этого мало.

Компоненты политики DNS

По сути, в политике DNS есть 3 новых элемента:

Области зоны являются частью самой зоны, поэтому в зоне, интегрированной с AD, они реплицируются с зоной.

Но клиентские подсети и политики не хранятся в AD, поэтому они не реплицируются, и, например, нет раздела каталога, где вы могли бы проверить или установить разрешения.

Пример проблемы

Попытка создать запись клиентской подсети, которая отлично работает с учетной записью администратора домена, дает мне загадочную ошибку при проверке деталей внутреннего исключения.

Это дает мне ошибку WIN32 1011:

The configuration registry key could not be opened.

Погуглить эту ошибку довольно бесполезно, и никогда не говорится который ключ реестра он есть.

Это с учетной записью, которая является обычным пользователем домена, но является членом DnsAdmins и не имеет других особых привилегий.

Эта учетная запись может читать Подсеть DNS-клиента просто отлично. Но добавить одну не удается.

Напротив, пользователь домена, не являющийся членом DnsAdmins, не может прочитать запись подсети клиента (в разрешении отказано).

Код

# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'

# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'

Так что при отсутствии какой-либо документации я не понимаю, как правильно делегировать разрешения для этого.

Что ж, это не окончательный ответ, который я ищу, но это что-то; Надеюсь будет еще ответов.

Я обнаружил, что член домена BUILTIN\Administrators группа имеет достаточные разрешения для политик DNS.

Это неудивительно, поскольку это, по сути, администратор домена без административного доступа к рядовым компьютерам.

Я бы очень хотел найти что-то более ограниченное, но пока я собираюсь сделать это.

Это может быть вызвано тем, что разрешения безопасности для группы безопасности DnsAdmins не добавляются автоматически во вновь созданные зоны интеграции Active Directory. Чтобы обойти эту проблему, вы должны вручную добавить группу безопасности DnsAdmins в список управления доступом к зоне (ACL) и предоставить полный доступ.

Есть 3 способа сделать это:

1. С помощью средства Dsacls.exe.

2. С помощью редактора интерфейсов служб Active Directory (ADSI)

3. С помощью диспетчера DNS.

Вы можете проверить этот KB от Microsoft для получения подробной информации: KB837335