Назад | Перейти на главную страницу

Какие разрешения необходимы и где для удаления записей DNS в DNS, интегрированном в AD?

Я хотел бы иметь возможность разрешить определенному пользователю удалять записи DNS из моих зон DNS, интегрированных в Active Directory.

Одна зона реплицируется на все DNS-серверы на контроллерах домена в домене (например, в DomainDnsZones).

Другая зона реплицируется на все контроллеры домена в домене (так в CN = System, CN = MicrosoftDNS, DC = в домене).

Зоны обратного просмотра реплицируются на все DNS-серверы в лесах (как и в ForestDNSZones).

Я пробовал добавить Delete на All descendant objects в зону в DomainDnsZones и соответствующую зону обратного просмотра в ForestDNSZones. Например, используя Get-Acl в DomainDnsZone показывает (для указанной учетной записи):

ActiveDirectoryRights : Delete
AccessControlType     : Allow
InheritanceFlags      : ContainerInherit
PropagationFlags      : InheritOnly
InheritanceType       : Descendents

но я получаю ОТКАЗ В ДОСТУПЕ, когда пытаюсь удалить образец записи с помощью DNSCMD.

Почему это не так? Что мне еще нужно делать?

Удивительно, что эту информацию так сложно найти. Мне не удалось найти ни одного ресурса, который бы эффективно объяснил это, но мне нужно было делегировать удаление записей учетной записи службы, и я хотел сделать это с минимальными привилегиями. После долгих проб и ошибок я придумал это применительно к самой зоне (это соответствует моим потребностям, вам может потребоваться поднять уровень в ADSI Edit):

Delete и Write all properties Применительно к: All descendant objects

Вам, вероятно, понадобится Read если это еще не было предоставлено через какое-либо другое членство.

Я конкретно не необходимость Delete all child objects на родителя; казалось, это ничего не дало.