Para excluir registros DNS no DNS integrado ao AD, quais permissões são necessárias e onde?

Navegue suas respostas
2

Eu gostaria de permitir que um usuário específico exclua registros DNS de minhas zonas DNS integradas ao Active Directory.

Uma zona é replicada para todos os servidores DNS em DCs no domínio (portanto, em DomainDnsZones).

Outra zona é replicada para todos os controladores de domínio no domínio (portanto, em CN = System, CN = MicrosoftDNS, DC = no domínio).

As zonas de pesquisa inversa são replicadas para todos os servidores DNS nas florestas (portanto, em ForestDNSZones).

Eu tentei adicionar Delete on All descendant objects à zona em DomainDnsZones e à zona de pesquisa inversa apropriada em ForestDNSZones. Por exemplo, usando Get-Acl no DomainDnsZone mostra (para a conta especificada): 

ActiveDirectoryRights : Delete
AccessControlType     : Allow
InheritanceFlags      : ContainerInherit
PropagationFlags      : InheritOnly
InheritanceType       : Descendents

mas recebo o ACCESS NEGADO quando tento excluir um registro de amostra usando DNSCMD .

Por que isso não é bom? O que mais eu preciso fazer?

    
por user2871239 20.09.2017 / 10:36

1 resposta

0

É incrível que essa informação seja tão difícil de encontrar. Eu não consegui encontrar um único recurso que efetivamente explicava isso, mas eu precisava delegar a exclusão de registros para uma conta de serviço e queria fazê-lo com o menor privilégio. Depois de muita tentativa e erro, eu inventei isso, aplicado à zona em si (isso se ajusta às minhas necessidades, você pode precisar trazê-la até um nível no ADSI Edit):

Delete e Write all properties Aplicado a: All descendant objects

Você provavelmente precisará de Read se ainda não tiver sido concedido por meio de outra associação.

Eu especificamente não preciso de Delete all child objects no pai; isso pareceu não fazer nada.

    
por 05.01.2018 / 00:27

Tags

O proprietário do CentOS muda para um valor numérico depois de um tempo definido [fechado] É possível alterar o limite de expiração para certificados expirados no Exchange? (Evento 12018)