Quais são as permissões mínimas necessárias para gerenciar políticas de DNS no Server 2016?

3

Estou implementando políticas de DNS, escrevendo scripts do PowerShell para determinadas tarefas e, é claro, não quero agendar essas tarefas como administradores de domínio; Quero usar uma conta de serviço com menos privilégios.

O problema é que não consigo descobrir o que é necessário e onde. O AD inclui o grupo DnsAdmins , mas não é suficiente.

Componentes da política de DNS

Existem essencialmente três novos elementos nas políticas de DNS:

  • Escopos de zona
  • Sub-redes do cliente
  • Políticas

Os Escopos de Zona fazem parte da própria zona, portanto, em uma zona integrada ao AD, eles são replicados com a zona.

Mas as sub-redes e políticas do cliente não são armazenadas no AD, portanto, elas não são replicadas e não há uma partição de diretório, por exemplo, onde você possa verificar ou definir permissões.

Exemplo de problema

Tentar criar uma entrada de sub-rede do cliente, que funciona bem com uma conta de administrador de domínio, me dá um erro misterioso sobre a verificação dos detalhes da exceção interna.

Isso me dá um erro WIN11 1011:

The configuration registry key could not be opened.

Pesquisando esse erro é bastante inútil, e nunca diz qual chave de registro é.

Trata-se de uma conta que é um usuário de domínio normal, mas é membro de DnsAdmins e não possui outros privilégios especiais.

Essa conta pode ler uma sub-rede do cliente DNS bem. Mas adicionar um falha.

Por contraste, um usuário de domínio que não é membro de DnsAdmins não pode ler a entrada de sub-rede do cliente (permissão negada).

Código

# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'

# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'

Por isso, sem documentação, não sei como delegar adequadamente as permissões para isso.

    
por briantist 21.04.2017 / 22:27

2 respostas

2

Bem, esta não é a resposta final que estou procurando, mas é alguma coisa; Espero que haja mais respostas.

Descobri que um membro do grupo BUILTIN\Administrators do domínio tem permissões suficientes para as Políticas de DNS.

Isso não é surpreendente, já que é essencialmente um administrador de domínio sem o acesso administrativo a computadores membros.

Eu realmente gostaria de encontrar algo mais limitado, mas por enquanto é com isso que estou indo.

    
por 24.04.2017 / 17:53
0

Isso pode ser causado pelas permissões de segurança do grupo de segurança DnsAdmins que não são adicionadas automaticamente às zonas integradas do Active Directory recém-criadas. Para contornar esse problema, você deve adicionar manualmente o grupo de segurança DnsAdmins à lista de controle de acesso de zona (ACL) e conceder controle total.

Existem 3 maneiras de fazer isso:

1.Utilize a ferramenta Dsacls.exe.

2.Utilize o Editor de Interfaces de Serviço do Active Directory (ADSI)

3. Use o gerenciador de DNS.

Você pode verificar essa KB da Microsoft para os detalhes: KB837335

    
por 26.04.2017 / 08:08