>Делегирование управления DNS-зоной

>

Я вернулся. Извините за длительное отсутствие: все эти конференции и сборища MVP забирают слишком много сил и времени, хотя, конечно, очень полезны и приятны. Но теперь все пойдет по-старому, и начнем мы с делегирования управления одной зоной DNS, скажем, младшему системному администратору (без предоставления контроля над всем сервером или, упаси боже, AD). Очевидно, что мы можем легко предоставить пользователю право на создание и удаление объектов в зоне:

image_thumb

однако это не даст ему прав соединяться с сервером посредством консоли DNS (мы можем, конечно, работать с dnscmd, скажем, но… GUI есть GUI =) ):

image

Что делать в такой ситуации? Ну мы можем дать нашему младшему администратору административные полномочия на сервере, но:

  1. это немного слишком
  2. он получит права на весь DNS, а не только на зону
  3. обычно DNS-серверы расположены на DC, так что наш младшой получит права администратора домена

Оказывается, достаточно просто дать ему право Read на сам объект сервера в консоли DNS:

image

После чего наш младшой уже будет иметь тот доступ, который мы ему желали выдать:

image

Ну и конечно не забываем, что предоставлять пользователю доступ или полномочия напрямую – моветон. Создаем группу, даем полномочия ей и помещаем пользователя в нее же.

Реклама

>Делегирование управления DNS-зоной: 6 комментариев

  1. Anonymous

    >Александр, понадобилось настроить данный функционал абсолютно также, как в Вашей статье, но не получилось подключиться из оснастки к DNS серверу, говорит "отказано в доступе". Права на чтение выставил. Сервер 2008 R2. Домен на нем же. В чем еще может быть проблема? Замечу, что произведенные действия на 2003 сервере отработали на ура.

    Нравится

  2. Alexander Trofimov

    >Мне бы более подробно ситуацию знать… Какая ОС на компьютере, на котором Вы запускаете оснастку? Если это Vista/7, то запускаете ли Вы оснастку с повышенными привилегиями? ДНС сервер совмещен с DC или отдельный? Ну и пока все, жду ответов, может помогу. Если здесь неудобно, то можно писать на alexander[dot]trofimov[at]live.com

    Нравится

  3. Rio

    как организовать следующий процесс: имеем одну зону с записями нескольких филиалов. Один из админов филиала хочет получить доступ к управлению (чтение, запись) только своих записей. Другими словами, можно ли каким-нибудь образом делегировать управление филиальским админам только своими записями? без нанесения вреда всему серверу DNS, а также чужим записям?

    Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s