none
DNSの権限設定について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server 2012 R2でAD環境を構築・運用しています。

    ADサーバー上で、「サーバーマネージャー」→「ツール」→「DNS」をクリックで開いた後、

    左ペインにて、DNSというツリールート直下にある「ホスト名」を右クリックし、「プロパティ」を開き、

    「セキュリティ」タブに権限を外したいユーザーが存在するのですが、

    ユーザー名(ユーザー名@ドメイン名)は親からアクセス許可を継承しているので、このオブジェクトを削除することはできません。ユーザー名(ユーザー名@ドメイン名)を削除するには、アクセス許可の警鐘を妨げる必要があります。アクセス許可の継承のオプションをオフにして、ユーザー名(ユーザー名@ドメイン名)の削除を再試行してください。

    という警告が出て、アクセス権限を剥奪することができません。該当の箇所の親フォルダがどこになるのかがいまいちわからず苦悩しております。

    これらに関しての知見がありましたらご教示いただけますでしょうか。

    なお、該当ユーザーは、別の用途があるため、ユーザーは削除したくないという状況です。

    2019年5月28日 8:45
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    gpoadminというグループポリシーを変更するためのユーザーの権限について考えております。

    このユーザーを直接「ADオブジェクトのアクセス許可」に設定するのは、それ自体が問題だと思います。グループポリシーを作成・編集したい場合、「Group Policy Creator Owners」というグループにメンバーを置けば、対応が可能です。このグループに必要なメンバーを置けば、わざわざアクセス許可を変更する必要はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月3日 9:56
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    上記、誤りがございましたので、訂正させていただきます。

    × アクセス許可の警鐘

    ○ アクセス許可の継承

    2019年5月28日 8:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    ”whoami"command を利用るることを勧めます。このコマンドで現在ローカルシステムにログオンしているユーザーのユーザー、グループ、および特権情報を表示します。

    詳しい情報は下記リンクをご参照ください。

    https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/whoami

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月29日 2:49
    |
    モデレータ
  • Question
    サインインして投票
    2
    サインインして投票

    簡単なお返事で恐縮ですが、「セキュリティ」タブに[詳細設定]というボタンがあるのでそちらを開くと、「継承元」という項目で、どこの階層から継承されたかを確認することができます。

    まずはそちらを確認してみてはいかがでしょうか。

    2019年5月29日 3:04
    |
  • Question
    サインインして投票
    2
    サインインして投票

    こんにちは

    @mu_seed 言った通りで確認をお願いします。

    どうぞよろしくお願いいたします

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月29日 6:01
    |
    モデレータ
  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    この件ですが、その「いっけんサーバー」にみえるオブジェクトですが、Active Directory「CN=MicrosoftDNS,CN=System,<フォレストルートDN>」オブジェクトが実体の可能性があります。そのオブジェクトの[セキュリティ]タブから、[詳細設定]-[継承を無効にする]を設定すると、セキュリティ設定のつけ外しが可能になると思います。(Active Directoryユーザーとコンピューターから確認できるでしょう)

    ちなみに、その対象ユーザーのアクセス許可が「どのオブジェクト」から設定されているのか、は[セキュリティ]タブ-[詳細設定]-[継承元]で確認することができます。継承元オブジェクトのセキュリティ設定で、対象ユーザーの削除をすれば、「継承を無効にする」は行わなくとも、対応自体は可能だと思います。

    ただし、Active Directoryオブジェクトは、その内容と「セキュリティ設定」も、全部のドメインコントローラーで複製し共有します。特定のユーザーやグループをセキュリティ設定から外してしまうと、問題が生じることがありますので、変更することは一般にお奨めできません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月29日 19:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    また協力できるところがありましたら、連絡をお願いします

    どうぞよろしくお願いいたします

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月31日 9:24
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん
    下記の件、情報をいただきありがとうございます。

    gpoadminというグループポリシーを変更するためのユーザーの権限について考えております。
    DNSへの権限は不要なため、この設定から権限を剥奪しようと考えています。

    上記にご意見いただきました通り、[セキュリティ]タブの[詳細設定]の情報を掲載させていただきます。
    継承元は、「DC=XXX」という本環境のドメイン名のみとなっております。ドメイン全体にjかかる設定となるのでしょうか。
    となると、なかなか変更をするのはリスキーな感じがしますね・・・。


    2019年6月3日 8:13
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    DNS 権限について詳しい情報は下記リンクをご参照ください。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/9316d54f-82d3-4d6c-98a5-1674c6a0a27b/what-is-the-best-way-to-set-permissions-for-dns-admins?forum=winserverNIS

    どうぞよろしくお願いいたします

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年6月3日 8:34
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    gpoadminというグループポリシーを変更するためのユーザーの権限について考えております。

    このユーザーを直接「ADオブジェクトのアクセス許可」に設定するのは、それ自体が問題だと思います。グループポリシーを作成・編集したい場合、「Group Policy Creator Owners」というグループにメンバーを置けば、対応が可能です。このグループに必要なメンバーを置けば、わざわざアクセス許可を変更する必要はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月3日 9:56
    |
  • Question
    サインインして投票
    0
    サインインして投票

    yamayuです。

    皆様、ご助言いただきありがとうございます。

    おっしゃる通り、gpoadminをドメインオブジェクトに直接設定するのは問題だという認識です。
    (その詳細を見ると、「gPOptionの読み取り」と「gPOptionの書き込み」のみにチェックが入っていましたが
    →この設定で害がないのであれば、あえて変更をしないというのも手でしょうか。)

    本来の設定方法として、「Group Policy Creator Owners」グループにgpoadminユーザーを現在も設定しておりますので、ドメイン全体のセキュリティ設定から、gpoadminだけ外す形で変更するのが良いでしょうか。

    宜しくお願い致します。

    2019年6月10日 9:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    yamayuです。

    実際の設定情報を記載させていただきます。
    ドメインオブジェクト(直下)のセキュリティ設定は、以下のようにgpoadminに対して、
    gPLinkとgPOptionsを2度に分けて設定してあります。

    そもそも、
    1.「Group Policy Creator Owners」グループに入れる
    2.gPOptionsやgPLinkの読み書き権限を付与する
    というのが両方必要なのか、片方でよいのかで、対応が変わってくるかと思いますが…。


    宜しくお願いいたします。

    2019年6月10日 9:40
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    実際のアクセス許可が投稿いただけていないので、わからないのですが、こちらの当初の意図としては、ドメインオブジェクトへのアクセス許可は「デフォルト設定」に戻して、gpoadminを「Group Policy Creator Owners」グループのメンバーとしてください、でした。

    ですが、実際にGPOの善操作が必要な場合は、したの状況がいいかと思います。

    • ドメインオブジェクトに対して「制御の委任」を行い、「Group Policy Creator Owners」グループが「グループポリシーのリンクの管理」できるように委任設定を行う
    • そのうえでgpoadminを「Group Policy Creator Owners」グループのメンバーに設定する

    うえの設定を行うと、「gPLinkの読み取り」「gPLinkの書き込み」と、「gPOptionsの読み取り」「gPOptionsの書き込み」が、それぞれアクセス許可として設定され、(もともと持っている)GPOの作成・編集・削除に加えて、リンクの管理も可能になる、ということかと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月11日 1:42
    |
  • Question
    サインインして投票
    0
    サインインして投票

    yamayuです。

    チャブーンさん、ご教示いただきありがとうございました。

    事前に、Group Policy Creator Ownersグループに所属させていた状態だったので、
    ドメインオブジェクトから、gpoadminを削除しました。

    GPOの作成・削除が問題なくできることまで確認いたしました。

    2019年7月30日 0:20
    |