>
Я вернулся. Извините за длительное отсутствие: все эти конференции и сборища MVP забирают слишком много сил и времени, хотя, конечно, очень полезны и приятны. Но теперь все пойдет по-старому, и начнем мы с делегирования управления одной зоной DNS, скажем, младшему системному администратору (без предоставления контроля над всем сервером или, упаси боже, AD). Очевидно, что мы можем легко предоставить пользователю право на создание и удаление объектов в зоне:
однако это не даст ему прав соединяться с сервером посредством консоли DNS (мы можем, конечно, работать с dnscmd, скажем, но… GUI есть GUI =) ):
Что делать в такой ситуации? Ну мы можем дать нашему младшему администратору административные полномочия на сервере, но:
-
это немного слишком
-
он получит права на весь DNS, а не только на зону
-
обычно DNS-серверы расположены на DC, так что наш младшой получит права администратора домена
Оказывается, достаточно просто дать ему право Read на сам объект сервера в консоли DNS:
После чего наш младшой уже будет иметь тот доступ, который мы ему желали выдать:
Ну и конечно не забываем, что предоставлять пользователю доступ или полномочия напрямую – моветон. Создаем группу, даем полномочия ей и помещаем пользователя в нее же.
>не знал. спасибо
НравитсяНравится
>Я тоже не знал — пришлось экспериментировать ;)
НравитсяНравится
>Александр, понадобилось настроить данный функционал абсолютно также, как в Вашей статье, но не получилось подключиться из оснастки к DNS серверу, говорит "отказано в доступе". Права на чтение выставил. Сервер 2008 R2. Домен на нем же. В чем еще может быть проблема? Замечу, что произведенные действия на 2003 сервере отработали на ура.
НравитсяНравится
>Мне бы более подробно ситуацию знать… Какая ОС на компьютере, на котором Вы запускаете оснастку? Если это Vista/7, то запускаете ли Вы оснастку с повышенными привилегиями? ДНС сервер совмещен с DC или отдельный? Ну и пока все, жду ответов, может помогу. Если здесь неудобно, то можно писать на alexander[dot]trofimov[at]live.com
НравитсяНравится
как организовать следующий процесс: имеем одну зону с записями нескольких филиалов. Один из админов филиала хочет получить доступ к управлению (чтение, запись) только своих записей. Другими словами, можно ли каким-нибудь образом делегировать управление филиальским админам только своими записями? без нанесения вреда всему серверу DNS, а также чужим записям?
НравитсяНравится
Технически-то можно… Но лучше не нужно, потому что это управление доступом на уровне записей. Разные зоны сделать не получится?
НравитсяНравится
«Прошедшие проверку» имеют разрешение «Создание всех дочерних объектов». В разрешениях записи пользователь, создавший ее, имеет право «Запись» и может удалить ее. Поэтому никаких дополнительных разрешений устанавливать не нужно.
Исходя из вышесказанного разве необходимо в безопасности дополнительно давать права если можно создавать записи, при этом удалять только то что создано тобой?
НравитсяНравится
А если нужно редактировать чужое?
НравитсяНравится