Estou implementando políticas de DNS, escrevendo scripts do PowerShell para determinadas tarefas e, é claro, não quero agendar essas tarefas como administradores de domínio; Quero usar uma conta de serviço com menos privilégios.
O problema é que não consigo descobrir o que é necessário e onde. O AD inclui o grupo DnsAdmins
, mas não é suficiente.
Componentes da política de DNS
Existem essencialmente três novos elementos nas políticas de DNS:
- Escopos de zona
- Sub-redes do cliente
- Políticas
Os Escopos de Zona fazem parte da própria zona, portanto, em uma zona integrada ao AD, eles são replicados com a zona.
Mas as sub-redes e políticas do cliente não são armazenadas no AD, portanto, elas não são replicadas e não há uma partição de diretório, por exemplo, onde você possa verificar ou definir permissões.
Exemplo de problema
Tentar criar uma entrada de sub-rede do cliente, que funciona bem com uma conta de administrador de domínio, me dá um erro misterioso sobre a verificação dos detalhes da exceção interna.
Isso me dá um erro WIN11 1011:
The configuration registry key could not be opened.
Pesquisando esse erro é bastante inútil, e nunca diz qual chave de registro é.
Trata-se de uma conta que é um usuário de domínio normal, mas é membro de DnsAdmins
e não possui outros privilégios especiais.
Essa conta pode ler uma sub-rede do cliente DNS bem. Mas adicionar um falha.
Por contraste, um usuário de domínio que não é membro de DnsAdmins
não pode ler a entrada de sub-rede do cliente (permissão negada).
Código
# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
Por isso, sem documentação, não sei como delegar adequadamente as permissões para isso.