Berechtigung auf DC, um DHCP zu sichern

bpeter
Goto Top
Hallo,
bei uns läuft die DHCP-Rolle auf Domain Controllern. Täglich läuft ein Task, der die Datenbank exportiert (netsh dhcp server export ...) und auf einen anderen Ort speichert. Welche Berechtigung benötigt der User, der den Task ausführt? Im Moment funktioniert es nur, wenn er Domain Admin ist, das er aber nicht sein sollte. Wenn ich ihm diese Berechtigung entferne, führt er den Task zwar aus, der Export ist aber leer.
Bekomme ich das Problem nur gelöst, wenn ich DHCP auf einen nicht DC installiere?

AD 2016

Grüße
Peter

Content-Key: 2673410083

Url: https://administrator.de/contentid/2673410083

Ausgedruckt am: 01.07.2022 um 20:07 Uhr

Mitglied: DerWoWusste
DerWoWusste 03.05.2022 um 10:01:59 Uhr
Goto Top
Das lokale Systemkonto wird dafür mit Sicherheit ausreichen.
Welche Sorge bereitet dir das Ausführen als Domänenadmin?
Mitglied: BPeter
BPeter 03.05.2022 um 10:39:13 Uhr
Goto Top
ok.
Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort. Ich müsste einen 2.Task erstellen, der den Export kopiert. Das wäre eine Option.

Ich will die Anzahl der Domain Admins in Grenzen halten.
Mitglied: DerWoWusste
Lösung DerWoWusste 03.05.2022 um 10:55:28 Uhr
Goto Top
Ich will die Anzahl der Domain Admins in Grenzen halten.
Das ist gut.

Das Systemkonto des DCs (DCName$) kann auch auf jeder Freigabe schreibberechtigt werden, dann läuft das.
Mitglied: colinardo
Lösung colinardo 03.05.2022 aktualisiert um 11:30:30 Uhr
Goto Top
Servus.
Die Gruppen DHCP-Administratoren, oder Sicherungs-Operatoren tuts auch. Wobei man bei den DHCP-Administratoren noch das lokale "Anmelden als Batchauftrag" Recht geben müsste, das haben Sicherungsoperatoren schon.
Das Systemkonto kann den Export lokal auf dem DC ablegen, aber nicht auf einem anderen Speicherort
Doch du musst nur dem Computer-Account des DCs entsprechende Share und NTFS-Rechte geben dann läuft das problemlos face-smile.

Grüße Uwe
Mitglied: BPeter
BPeter 03.05.2022 um 15:28:04 Uhr
Goto Top
Das war eigentlich zu einfach. face-smile
Habe mit Managed Service Accounts gespielt.

Danke euch
Peter
Mitglied: BPeter
BPeter 23.05.2022 um 16:36:00 Uhr
Goto Top
Hallo,
ich muss nochmal zurückkommen. Wir haben auch die DHCP-Rolle auf einigen Mitgliedsservern, dort funktioniert es leider nicht mit dem Systemkonto.
Der Task wird gestartet und gleich wieder beendet. Im Log kann ich nicht wirklich einen Error erkennen.

Jemand noch eine Idee?

Gruß
Peter
Mitglied: DerWoWusste
DerWoWusste 23.05.2022 um 16:40:25 Uhr
Goto Top
Hast Du das Systemkonto jener Server jeweils schreibberechtigt auf der Freigabe?
Mitglied: BPeter
BPeter 23.05.2022 um 16:57:46 Uhr
Goto Top
Ja. Die Berechtigungen sind die gleichen, wie des DC's.
Mitglied: colinardo
colinardo 23.05.2022 aktualisiert um 17:21:37 Uhr
Goto Top
Klappt hier im Test problemlos. (Nicht vergessen Share und NTFS-Berechtigungen müssen stimmen!)

Und zusätzlich per PSEXEC (psexec -is -s cmd) gestartete Shell mit SYSTEM-Rechten und einem direkten Export der config auf ein Netzlaufwerk:

screenshot

screenshot

screenshot

Works as designed face-smile !
Mitglied: BPeter
BPeter 23.05.2022 um 17:20:05 Uhr
Goto Top
Der Server hat beide Berechtigungen. Wenn es prinzipiell funktioniert, muss ich nochmal schauen.
Mitglied: BPeter
Lösung BPeter 24.05.2022 um 09:40:21 Uhr
Goto Top
Die Berechtigungen waren korrekt. Der Pfad in der Batch-Datei zeigte nicht direkt auf den Share. Jetzt geht alles.

Danke
Peter
Mitglied: colinardo
colinardo 24.05.2022 aktualisiert um 09:56:28 Uhr
Goto Top
Peinlich.