lunes, 26 de marzo de 2012

Operador Windows DNS


A veces para descargar trabajo delegamos la responsabilidad de ciertos privilegios de administrar el AD en algún operador. No siempre es fácil asignar los permisos correctos, intentaré en unos cuantos post explicar como los he configurado yo.

La finalidad es que NO pueda eliminar la zona, pero si gestionar los registros que contiene.

En este caso quiero delegar el crear y eliminar registros en el DNS de mi dominio.

Lo primero sería instalar la herramientas administrativas al usuario que queremos dar esta gestión, no es necesario darle acceso a un terminal en el servidor. (Paquete de herramientas de administración de Windows Server 2003 Service Pack 2 para las ediciones x86).



Aquí encontrarás la herramienta de gestión de DNSAl ejecutarlo nos pedirá que Servidor DNS queremos gestionar, con darle uno cualquiera de nuestra zona integrada en el AD tendría bastante.

Si nos sale el siguiente error:


Debemos irnos a un servidor DNS y concederle ciertos permisos.

Con los siguientes permisos podrá dar de alta registros y dar de baja únicamente los registros que este usuario (no grupo) a dado de alta.

Es preferible trabajar con grupos en lugar de usuarios, en general para todo.


Todos los permisos los asignare a nivel de grupo. Otro usuario perteneciente al mismo grupo NO podrá borrar registros que él no hay creado. Aunque pertenezcas el mismo grupo los privilegios del registro DNS se le asignan al usuario.

He creado el registro AA con el dato "pc3" desde una máquina que estaba logeado como "usr1" aunque los permisos de DNS está asignados al grupo "DNS Operadores TMP". Con lo que observamos que se queda el usuario con los permisos especiales.


Si queremos que nuestro usuario operador (en este caso usr1) pueda gestionar TODOS los registros de nuestro dominio, pero tomando las medidas necesarias para evitar que por accidente nos borre algún registro, le podemos dar más responsabilidad. Le concederemos el permiso de eliminar los registros que el no haya creado, pero previamente se tendrá que conceder el mismo permisos sobre los registros.

En el servidor haremos lo siguiente:



Cuando quiera eliminar un registro tendrá que darse permisos:



Luego al intentar eliminarlo verá que no tiene problemas.

Importante: Tanto para las altas de registros como la eliminación hay que poner los mismos permisos en la zona inversa


Pruebas realizadas con servidores Windows 2003 R2 y clientes XP

No hay comentarios: