Я хотел бы иметь возможность разрешить определенному пользователю удалять записи DNS из моих зон DNS, интегрированных в Active Directory.
Одна зона реплицируется на все DNS-серверы на контроллерах домена в домене (например, в DomainDnsZones).
Другая зона реплицируется на все контроллеры домена в домене (так в CN = System, CN = MicrosoftDNS, DC = в домене).
Зоны обратного просмотра реплицируются на все DNS-серверы в лесах (как и в ForestDNSZones).
Я пробовал добавить Delete
на All descendant objects
в зону в DomainDnsZones и соответствующую зону обратного просмотра в ForestDNSZones. Например, используя Get-Acl
в DomainDnsZone показывает (для указанной учетной записи):
ActiveDirectoryRights : Delete
AccessControlType : Allow
InheritanceFlags : ContainerInherit
PropagationFlags : InheritOnly
InheritanceType : Descendents
но я получаю ОТКАЗ В ДОСТУПЕ, когда пытаюсь удалить образец записи с помощью DNSCMD
.
Почему это не так? Что мне еще нужно делать?
Удивительно, что эту информацию так сложно найти. Мне не удалось найти ни одного ресурса, который бы эффективно объяснил это, но мне нужно было делегировать удаление записей учетной записи службы, и я хотел сделать это с минимальными привилегиями. После долгих проб и ошибок я придумал это применительно к самой зоне (это соответствует моим потребностям, вам может потребоваться поднять уровень в ADSI Edit):
Delete
и Write all properties
Применительно к: All descendant objects
Вам, вероятно, понадобится Read
если это еще не было предоставлено через какое-либо другое членство.
Я конкретно не необходимость Delete all child objects
на родителя; казалось, это ничего не дало.