Я вернулся. Извините за длительное отсутствие: все эти конференции и сборища MVP забирают слишком много сил и времени, хотя, конечно, очень полезны и приятны. Но теперь все пойдет по-старому, и начнем мы с делегирования управления одной зоной DNS, скажем, младшему системному администратору (без предоставления контроля над всем сервером или, упаси боже, AD). Очевидно, что мы можем легко предоставить пользователю право на создание и удаление объектов в зоне:
однако это не даст ему прав соединяться с сервером посредством консоли DNS (мы можем, конечно, работать с dnscmd, скажем, но… GUI есть GUI =) ):
Что делать в такой ситуации? Ну мы можем дать нашему младшему администратору административные полномочия на сервере, но:
- это немного слишком
- он получит права на весь DNS, а не только на зону
- обычно DNS-серверы расположены на DC, так что наш младшой получит права администратора домена
Оказывается, достаточно просто дать ему право Read на сам объект сервера в консоли DNS:
После чего наш младшой уже будет иметь тот доступ, который мы ему желали выдать:
Ну и конечно не забываем, что предоставлять пользователю доступ или полномочия напрямую – моветон. Создаем группу, даем полномочия ей и помещаем пользователя в нее же.
4 комментария:
не знал. спасибо
Я тоже не знал - пришлось экспериментировать ;)
Александр, понадобилось настроить данный функционал абсолютно также, как в Вашей статье, но не получилось подключиться из оснастки к DNS серверу, говорит "отказано в доступе". Права на чтение выставил. Сервер 2008 R2. Домен на нем же. В чем еще может быть проблема? Замечу, что произведенные действия на 2003 сервере отработали на ура.
Мне бы более подробно ситуацию знать...
Какая ОС на компьютере, на котором Вы запускаете оснастку?
Если это Vista/7, то запускаете ли Вы оснастку с повышенными привилегиями?
ДНС сервер совмещен с DC или отдельный?
Ну и пока все, жду ответов, может помогу. Если здесь неудобно, то можно писать на alexander[dot]trofimov[at]live.com
Отправить комментарий