Berechtigung auf DC, um DHCP zu sichern

Hallo,
bei uns läuft die DHCP-Rolle auf Domain Controllern. Täglich läuft ein Task, der die Datenbank exportiert (netsh dhcp server export ...) und auf einen anderen Ort speichert. Welche Berechtigung benötigt der User, der den Task ausführt? Im Moment funktioniert es nur, wenn er Domain Admin ist, das er aber nicht sein sollte. Wenn ich ihm diese Berechtigung entferne, führt er den Task zwar aus, der Export ist aber leer.
Bekomme ich das Problem nur gelöst, wenn ich DHCP auf einen nicht DC installiere?

AD 2016

Grüße
Peter

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 2673410083

Url: https://administrator.de/forum/berechtigung-auf-dc-um-dhcp-zu-sichern-2673410083.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

12 Kommentare

Neuester Kommentar

Das lokale Systemkonto wird dafür mit Sicherheit ausreichen.
Welche Sorge bereitet dir das Ausführen als Domänenadmin?

ok.
Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort. Ich müsste einen 2.Task erstellen, der den Export kopiert. Das wäre eine Option.

Ich will die Anzahl der Domain Admins in Grenzen halten.

Ich will die Anzahl der Domain Admins in Grenzen halten.

Das ist gut.

Das Systemkonto des DCs (DCName$) kann auch auf jeder Freigabe schreibberechtigt werden, dann läuft das.

Servus.
Die Gruppen DHCP-Administratoren, oder Sicherungs-Operatoren tuts auch. Wobei man bei den DHCP-Administratoren noch das lokale "Anmelden als Batchauftrag" Recht geben müsste, das haben Sicherungsoperatoren schon.

Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort

Doch du musst nur dem Computer-Account des DCs entsprechende Share und NTFS-Rechte geben dann läuft das problemlos

.

Grüße Uwe

Das war eigentlich zu einfach.

Habe mit Managed Service Accounts gespielt.

Danke euch
Peter

Hallo,
ich muss nochmal zurückkommen. Wir haben auch die DHCP-Rolle auf einigen Mitgliedsservern, dort funktioniert es leider nicht mit dem Systemkonto.
Der Task wird gestartet und gleich wieder beendet. Im Log kann ich nicht wirklich einen Error erkennen.

Jemand noch eine Idee?

Gruß
Peter

Hast Du das Systemkonto jener Server jeweils schreibberechtigt auf der Freigabe?

Ja. Die Berechtigungen sind die gleichen, wie des DC's.

Klappt hier im Test problemlos. (Nicht vergessen Share und NTFS-Berechtigungen müssen stimmen!)

<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
  <RegistrationInfo>
    <URI>\test\export_dhcp_config</URI>
  </RegistrationInfo>
  <Triggers />
  <Principals>
    <Principal id="Author">  
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">  
    <Exec>
      <Command>cmd</Command>
      <Arguments>/c netsh dhcp server export \\myserver\testshare\config.txt</Arguments>
    </Exec>
  </Actions>
</Task>