Estou implementando políticas de DNS, escrevendo scripts do PowerShell para determinadas tarefas e, é claro, não quero agendar essas tarefas como administradores de domínio; Quero usar uma conta de serviço com menos privilégios.
O problema é que não consigo descobrir o que é necessário e onde. O AD inclui o grupo DnsAdmins , mas não é suficiente.
Existem essencialmente três novos elementos nas políticas de DNS:
Os Escopos de Zona fazem parte da própria zona, portanto, em uma zona integrada ao AD, eles são replicados com a zona.
Mas as sub-redes e políticas do cliente não são armazenadas no AD, portanto, elas não são replicadas e não há uma partição de diretório, por exemplo, onde você possa verificar ou definir permissões.
Tentar criar uma entrada de sub-rede do cliente, que funciona bem com uma conta de administrador de domínio, me dá um erro misterioso sobre a verificação dos detalhes da exceção interna.
Isso me dá um erro WIN11 1011:
The configuration registry key could not be opened.
Pesquisando esse erro é bastante inútil, e nunca diz qual chave de registro é.
Trata-se de uma conta que é um usuário de domínio normal, mas é membro de DnsAdmins e não possui outros privilégios especiais.
Essa conta pode ler uma sub-rede do cliente DNS bem. Mas adicionar um falha.
Por contraste, um usuário de domínio que não é membro de DnsAdmins não pode ler a entrada de sub-rede do cliente (permissão negada).
# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
Por isso, sem documentação, não sei como delegar adequadamente as permissões para isso.
Bem, esta não é a resposta final que estou procurando, mas é alguma coisa; Espero que haja mais respostas.
Descobri que um membro do grupo BUILTIN\Administrators do domínio tem permissões suficientes para as Políticas de DNS.
Isso não é surpreendente, já que é essencialmente um administrador de domínio sem o acesso administrativo a computadores membros.
Eu realmente gostaria de encontrar algo mais limitado, mas por enquanto é com isso que estou indo.
Isso pode ser causado pelas permissões de segurança do grupo de segurança DnsAdmins que não são adicionadas automaticamente às zonas integradas do Active Directory recém-criadas. Para contornar esse problema, você deve adicionar manualmente o grupo de segurança DnsAdmins à lista de controle de acesso de zona (ACL) e conceder controle total.
Existem 3 maneiras de fazer isso:
1.Utilize a ferramenta Dsacls.exe.
2.Utilize o Editor de Interfaces de Serviço do Active Directory (ADSI)
3. Use o gerenciador de DNS.
Você pode verificar essa KB da Microsoft para os detalhes: KB837335