Server 2016でDNSポリシーを管理するために必要な最小のアクセス許可は何ですか?
私はDNSポリシーを実装し、特定のタスク用のPowerShellスクリプトを作成していますが、もちろん、これらのタスクをドメイン管理者としてスケジュールしたくありません。最小特権のサービスアカウントを使用したい。
問題は、何がどこで必要なのか理解できないようです。 ADにはDnsAdminsグループが含まれていますが、それだけでは不十分です。
DNSポリシーコンポーネント
DNSポリシーには、基本的に3つの新しい要素があります。
- ゾーンスコープ
- クライアントサブネット
- ポリシー
ゾーンスコープはゾーン自体の一部であるため、AD統合ゾーンでは、ゾーンとともに複製されます。
ただし、クライアントサブネットとポリシーはADに保存されないため、複製されず、たとえば、アクセス許可を確認または設定できるディレクトリパーティションはありません。
問題の例
ドメイン管理者アカウントで正常に機能するクライアントサブネットエントリを作成しようとすると、内部例外の詳細の確認に関する不可解なエラーが発生します。
これを行うと、WIN321011エラーが発生します。
The configuration registry key could not be opened.
そのエラーをグーグルで検索してもかなり役に立たず、whichレジストリキーであるとは決して言えません。
これは、通常のドメインユーザーであるが、DnsAdminsのメンバーであり、他の特別な特権を持たないアカウントを使用しています。
そのアカウントは読み取り DNSクライアントサブネットで問題ありません。しかし、1つ追加すると失敗します。
対照的に、DnsAdminsのメンバーではないドメインユーザーは、クライアントサブネットエントリを読み取ることができません(許可が拒否されました)。
コード
# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'
ドキュメントがないので、これに対する権限を適切に委任する方法について私は途方に暮れています。
まあ、これは私が探している最終的な答えではありませんが、それは何かです。もっと答えがあるといいのですが。
ドメインのBUILTIN\AdministratorsグループのメンバーがDNSポリシーに対して十分な権限を持っていることがわかりました。
それは本質的にメンバーコンピュータへの管理アクセスのないドメイン管理者であるため、これは驚くべきことではありません。
もっと限定的なものを見つけたいのですが、今のところこれが私がやろうとしていることです。
これは、DnsAdminsセキュリティグループのセキュリティアクセス許可が、新しく作成されたActiveDirectory統合ゾーンに自動的に追加されないことが原因である可能性があります。この問題を回避するには、DnsAdminsセキュリティグループをゾーンアクセス制御リスト(ACL)に手動で追加し、フルコントロールを付与する必要があります。
それを行うには3つの方法があります。
1.Dsacls.exeツールを使用します。
2. Active Directoryサービスインターフェイス(ADSI)エディターを使用する
3.DNSマネージャーを使用します。
詳細については、MicrosoftのこのKBを確認できます。 KB837335