Авторизация DHCP сервера без прав Enterprise Admin

По умолчанию, авторизовать новый DHCP сервер в домене могут только члены группы «EnterpriseAdmins» (администраторы предприятия). В том случае, если попытаться авторизовать новый DHCP сервер из под другой учетной записи, то абсолютно справедливо появиться ошибка с отказом в доступе — «Access is denied«. Как же быть, если домен AD (или лес) большой, имеется множество территориальных подразделений с собственными администраторами и предоставление им прав администратора предприятия абсолютно нецелесообразно, но региональным админам периодически требуется поднимать новые DHCP сервера на своих площадках?

🎓 Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и "под микроскопом" изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Решить эту проблему можно делегированием прав на авторизацию DHCP серверов группе региональных администраторов. Далее подробно опишем процедуру предоставления прав.

1. С правами учетной записи, обладающей правами администратора домена и предприятия запустите mmc консоль «Active Directory Sites and Services«.

2. В верхнем меню выберите пункт «View > Show Services Mode«.

3. Разверните раздел «Services > NetServices«, в нем содержатся записи обо всех авторизованных DHCP серверах домена.

4. Щелкните правой кнопкой мыши по каталогу «NetServices«, и запустите мастер делегации прав — «DelegateControl«.

5. На шаге мастера, на котором предлагается указать пользователей или группы, которым делегируются права, добавьте группу пользователей, которой будет разрешено авторизовать DHCP сервера в домене (например, AdminDHCP)

6. Нажмите «Next«.

7. На экране «Tasks to Delegate» выберите опцию «Create a custom task to delegate«.

8. Нажмите «Next«.

9. В окне «Active Directory Object Type» выберите «This folder, existing objects in this folder, and creation of new objects in this folder«.

10. Нажмите «Next«.

11. В окне «Permissions» задаются делегируемые права, выберем «FullControl«.

12. Жмем «Next» .

13. И, наконец, «Finish«.

Теперь все члены группы AdminDHCP могут авторизовать DHCP сервера в нашем домене AD.

🎓 Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и "под микроскопом" изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Предыдущая статья Следующая статья


Комментариев: 0 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)