понедельник, 29 ноября 2010 г.

Содержимое блога за октябрь-ноябрь 2010

В этом месяце, как Вы уже наверное знаете, я был весьма занят Платформой и ее последствиями, так что здесь получаем весьма короткий обзор моей активности за два месяца. Надеюсь следующий месяц будет более плодотворным для блога.

Как предоставить кому-нибудь право управлять конкретной DNS зоной, не дав слишком много прав.

Халява она халява и есть. Качаем и читаем.

Платформа уже прошла. Даже вполне себе успешно.

Продолжение сериала: несколько трюков, позволяющих выполнить в одной строке несколько команд, зависящих или не зависящих от результата выполнения предыдущих.

Что делать, если Вы обнаружили уязвимость? Вы знаете? Расскажите мне.

Продолжение ностальгической серии про командную строку… (recover, systeminfo, takeown)

Вы все еще качаете дистрибутивы в торрентах? Тогда мы зловреды и хакеры идут к Вам.

Планирование, планирование и еще раз планирование.

Продолжение ностальгической серии про командную строку… (findstr, msdt, openfiles)

четверг, 25 ноября 2010 г.

Делегирование управления DNS-зоной

Я вернулся. Извините за длительное отсутствие: все эти конференции и сборища MVP забирают слишком много сил и времени, хотя, конечно, очень полезны и приятны. Но теперь все пойдет по-старому, и начнем мы с делегирования управления одной зоной DNS, скажем, младшему системному администратору (без предоставления контроля над всем сервером или, упаси боже, AD). Очевидно, что мы можем легко предоставить пользователю право на создание и удаление объектов в зоне:

image_thumb

однако это не даст ему прав соединяться с сервером посредством консоли DNS (мы можем, конечно, работать с dnscmd, скажем, но… GUI есть GUI =) ):

image

Что делать в такой ситуации? Ну мы можем дать нашему младшему администратору административные полномочия на сервере, но:

  1. это немного слишком
  2. он получит права на весь DNS, а не только на зону
  3. обычно DNS-серверы расположены на DC, так что наш младшой получит права администратора домена

Оказывается, достаточно просто дать ему право Read на сам объект сервера в консоли DNS:

image

После чего наш младшой уже будет иметь тот доступ, который мы ему желали выдать:

image

Ну и конечно не забываем, что предоставлять пользователю доступ или полномочия напрямую – моветон. Создаем группу, даем полномочия ей и помещаем пользователя в нее же.