Eu não acho que você possa fazer isso funcionar, porque a execução de um servidor DHCP no Windows requer a colocação da placa de rede no modo promíscuo, que é um privilégio que requer direitos de administrador e não pode ser delegado.
Estou tentando executar o serviço do Servidor DHCP com uma conta com permissões baixas (em parte para reduzir vetores de ataque e, em parte, apenas por diversão), pois ele é executado no SISTEMA LOCAL por padrão.
Eu obtive com êxito o serviço Servidor DNS sendo executado com uma conta de baixo acesso (. \ dns ), mas o DHCP simplesmente não está funcionando.
Estou usando o ProcessMonitor para rastrear eventos ACCESS DENIED no sistema e / ou tcpsvcs.exe, mas não há nenhum quando estou iniciando o serviço; no entanto, o SCM informa que 'Acesso negado'.
Não há nada no Registro de Eventos (Aplicativo, Segurança, Sistema) relacionado à causa da falha, e eu já concedi à conta de usuário . \ dhcp as seguintes permissões:
C:\WINDOWS\system32\dhcp [Controle total + subpastas] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer [Controle total + chaves filho] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{AC8033FD-2B2A-4076-8E04-B7BB090D61CE} [nic, idem] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{AC8033FD-2B2A-4076-8E04-B7BB090D61CE} [nic, idem] A operação final quando o SCM relata o erro é uma tentativa de WriteFile para \MACHINENAME*\MAILSLOT\NET\NETLOGON - mas executá-lo na conta do sistema padrão resulta em erro idêntico (caminho de rede incorreto), portanto não tenho certeza se isso está totalmente relacionado .
Alguém tem alguma dica ou sugestão?
SO: Windows Server 2003 R2 Enterprise x86 SP2
EDITAR:
Com o usuário . \ dhcp no grupo Administrators , o serviço é iniciado. Quando nos grupos Network Configuration Operators , DHCP Administrators e Power Users , o serviço falha ao iniciar.
Para verificar se o adaptador está em execução no modo promíscuo, testei com o nmap quando o serviço está em execução:
nmap -sU -vv --script=sniffer-detect 192.168.134.202
...
PORT STATE SERVICE
53/udp open domain
67/udp open|filtered dhcps
68/udp open|filtered dhcpc
123/udp open ntp
...
MAC Address: 90:B1:1C:87:8A:3B (Unknown)
Host script results:
|_sniffer-detect: Unknown (tests: "11____1_")
Fazendo netstat -anb no servidor retornar:
...
UDP 192.168.134.202:68 *:* 3432
[tcpsvcs.exe]
UDP 192.168.134.202:67 *:* 3432
[tcpsvcs.exe]
Nenhum sinal de escutar em 0.0.0.0
Eu não acho que você possa fazer isso funcionar, porque a execução de um servidor DHCP no Windows requer a colocação da placa de rede no modo promíscuo, que é um privilégio que requer direitos de administrador e não pode ser delegado.