我正在实施DNS策略,为某些任务编写PowerShell脚本,当然,我不想将这些任务安排为域pipe理员; 我想使用最less特权的服务帐户。
事情是,我似乎无法弄清楚需要什么,以及在哪里。 AD包含DnsAdmins组,但这还不够。
DNS策略主要有3个新要素:
区域范围是区域本身的一部分,所以在集成了AD的区域中,它们将与该区域一起复制。
但客户端子网和策略不存储在AD中,因此它们不会被复制,并且没有目录分区,例如您可以检查或设置权限。
试图创build一个客户端子网条目,与域pipe理员帐户正常工作,给我一个关于检查内部exception详细信息的神秘错误。
这样做给我一个WIN32 1011错误:
The configuration registry key could not be opened.
谷歌search错误是相当无用的,它永远不会说它是哪个registry项。
这是一个正常的域用户帐户,但是是DnsAdmins的成员,没有其他特殊的权限。
该帐户可以读取 DNS客户端子网就好了。 但是添加一个失败。
相比之下,不是DnsAdmins成员的域用户无法读取客户端子网条目(权限被拒绝)。
# Read a Client Subnet Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry' # Add a Client Subnet Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
所以缺less任何文档,我不知道如何正确地委托这个权限。
那么,这不是我正在寻找的最终答案,但这是一些东西; 我希望会有更多的答案。
我发现域的BUILTIN\Administrators组的成员具有足够的DNS策略权限。
这并不奇怪,因为它本质上是一个没有对成员计算机进行pipe理访问的域pipe理员。
我真的很想find更有限的东西,但现在这是我正在做的事情。
它可能由DnsAdmins安全组的安全权限引起,不会自动添加到新创build的Active Directory集成区域中。 要解决此问题,您应该手动将DnsAdmins安全组添加到区域访问控制列表(ACL)并授予完全控制。
有三种方法可以做到这一点:
1.使用Dsacls.exe工具。
2.使用Active Directory服务接口(ADSI)编辑器
3.使用DNSpipe理器。
您可以从Microsoft检查此KB,获取详细信息: KB837335