4
Microsoft DNS-Server und ACLs - Vererbung der Rechte?
Hallo zusammen,
aufgrund einer Umstrukturierung muss ich für unseren Windows DNS-Server (Windows Server 2012 R2, AD-integriert) die Zugriffsrechte neu einstellen.
Bis dato haben alle Mitarbeiter aus unserer IT-Abteilung Vollzugriff auf alle DNS-Einträge, da sie in einer Betriebssystemgruppe mitglied sind, nennen wir sie mal AD-Admins.
Ich habe nun eine neue AD-Betriebssystemgruppe erstellt, in der zukünftig nur noch Mitarbeiter drin sein sollen, die den DNS-Server administrieren (DNS-Admins).
Nun habe ich folgendes probiert und wunder mich über die Auswirkung: Ich habe im DNS-MMC-Snapin mich mit einem der drei DNS-Server verbunden und im Kontextmenü des Servers unter Eigenschaften -> Sicherheit die DNS-Admins-Betriebssystemgruppe hinzugefügt, ich habe ihr Vollzugriff gewährt und außerdem eingestellt, dass die Einstellung auf das aktuelle und alle untergeordneten Objekte vererbt wird. Dies steht in der Spalte bei "Anwenden auf" in der Übersicht dann auch so.
Gucke ich dann allerdings in die ACLs der Forward-Lookupzone hinein, ist die erwähnte Betriebssystemgruppe dort nicht mehr aufgeführt. Wieso wird hier nicht vererbt?
Meine Google Recherchen dazu waren leider nicht sehr erfolgreich, hat jemand eine Idee?
aufgrund einer Umstrukturierung muss ich für unseren Windows DNS-Server (Windows Server 2012 R2, AD-integriert) die Zugriffsrechte neu einstellen.
Bis dato haben alle Mitarbeiter aus unserer IT-Abteilung Vollzugriff auf alle DNS-Einträge, da sie in einer Betriebssystemgruppe mitglied sind, nennen wir sie mal AD-Admins.
Ich habe nun eine neue AD-Betriebssystemgruppe erstellt, in der zukünftig nur noch Mitarbeiter drin sein sollen, die den DNS-Server administrieren (DNS-Admins).
Nun habe ich folgendes probiert und wunder mich über die Auswirkung: Ich habe im DNS-MMC-Snapin mich mit einem der drei DNS-Server verbunden und im Kontextmenü des Servers unter Eigenschaften -> Sicherheit die DNS-Admins-Betriebssystemgruppe hinzugefügt, ich habe ihr Vollzugriff gewährt und außerdem eingestellt, dass die Einstellung auf das aktuelle und alle untergeordneten Objekte vererbt wird. Dies steht in der Spalte bei "Anwenden auf" in der Übersicht dann auch so.
Gucke ich dann allerdings in die ACLs der Forward-Lookupzone hinein, ist die erwähnte Betriebssystemgruppe dort nicht mehr aufgeführt. Wieso wird hier nicht vererbt?
Meine Google Recherchen dazu waren leider nicht sehr erfolgreich, hat jemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372717
Url: https://administrator.de/contentid/372717
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
warum verwendest Du nicht die AD integrierte Gruppe DNSAdmins?
warum verwendest Du nicht die AD integrierte Gruppe DNSAdmins?
Hi.
Wir haben für die Betriebssystemgruppen zur Verwaltung/Delegierung der Rechte ein Namenschema. Das wäre zwar ein einfacher Workaround, diese Gruppe zu nutzen, trägt aber leider nicht zur Lösung des Problems bei.
Wir haben für die Betriebssystemgruppen zur Verwaltung/Delegierung der Rechte ein Namenschema. Das wäre zwar ein einfacher Workaround, diese Gruppe zu nutzen, trägt aber leider nicht zur Lösung des Problems bei.
Hi,
auch wenn Du eigentlich wissen willst, wie die Vererbung geregelt ist...(kann leider auch nicht sagen)....
Deine SpecialDelegationsNamensschemaGruppe könnte schon Miglied in der Gruppe DNSAdmins sein, ohne Euer Qualitätsmanagement zu zerstören. Nicht wahr?
Grüße
lcer
auch wenn Du eigentlich wissen willst, wie die Vererbung geregelt ist...(kann leider auch nicht sagen)....
Deine SpecialDelegationsNamensschemaGruppe könnte schon Miglied in der Gruppe DNSAdmins sein, ohne Euer Qualitätsmanagement zu zerstören. Nicht wahr?
Grüße
lcer
Moin,
da gebe ich Icer00 vollkommen recht, schiebe Deine Gruppe in die AD integrierte DNSAdmins Gruppe,
und Dein Problem sollte gelöst sein. Außerdem würde ich das verwenden der für diese Verwaltungsaufgabe vorgesehenen Gruppe nicht als Workaround bezeichnen.
da gebe ich Icer00 vollkommen recht, schiebe Deine Gruppe in die AD integrierte DNSAdmins Gruppe,
und Dein Problem sollte gelöst sein. Außerdem würde ich das verwenden der für diese Verwaltungsaufgabe vorgesehenen Gruppe nicht als Workaround bezeichnen.
1
