none
Группа DHCP Administrators не обеспечивает нужных прав. RRS feed

  • Вопрос

  • Добрый день.

    Развернут AD домен на 3х контроллерах Windows Server 2012 R2. На двух из них стоят DHCP сервера в режиме Failover, оба авторизованы в домене. Необходимо дать права пользователям-участникам группы DHCP Administrators на управление DHCP серверами, при этом эти пользователи не состоят в группах Domain Admins и Administrators.

    1. Добавил пользователей в группу DHCP Administrators (и на всякий случай DHCP Users).

    2. Зашел по RDP на DC, на котором стоит DHCP сервер, от имени пользователя из группы DHCP Administrators.

    3. При открытии оснастки dhcpmgmt.msc получаю запрос на ввод логина/пароля, имеющего права на управление DHCP.

    4. Устанавливаю оснастку dhcpmgmt.msc на свою локальную машину. Запускаю dhcpmgmt.msc от имени пользователя из группы DHCP Administrators, добавляю в оснастку сервер DHCP, а он не открывается, и возле него стоит значок "кирпич".

    Через ADSI раздавал права на группу DHCP Administrators на раздел NetServices, см. скриншот по ссылке. Не помогло.

    https://yadi.sk/i/ZnksrZiAs8p64

    На файл dhcpmgmt.msc доменная группа Users имеет права "Чтение и выполнение", что по идее, достаточно.

    В чем может быть беда?

Ответы

Все ответы

  • Добрый день.

    Если права в NetServices на сервер сделаны, то ещё может быть что необходимо на сервере переименовать локальную группу "DHCP Administrators" в "Администраторы DHCP".

  • Алексей, вы навели меня на мысль... Команда net localgroup показала наличие групп:

    - DHCP Administrators

    - Администраторы DHCP

    Видимо, в этом дело. Попробую поработать с группой "Администраторы DHCP". А вообще странно, что группа задублировалась с разными языками. Видать, когда AD был поднят на 2003 R2, язык системы был другой.

  • Подтвердилось - нужная группа "Администраторы DHCP". Выполнение команды Add-DhcpServerSecurityGroup приводит к созданию именно этой группы.

    Далее я разместил в эту группу нужные учетные записи, раздал права через ADSI на раздел "NetService" (пробовал даже давать просто полные права). Ситуация не изменилась, запустить оснастку DHCP не могу.

  • убедитесь в том что репликация полностью завершилась на контроллерах... или принудительно ее запустите.
  • Запустил репликацию, проверил через repadmin.

    Эффекта нет.

    Нужно понять - кроме раздела NetService в ADSI где-то эта группа должна фигурировать для того, чтобы ее члены получили доступ?

  • Упустил из виду, что это все крутиься на КД. Исходя из

    You cannot delegate DHCP administration or WINS administration on a per-server basis when the DHCP service and the WINS service run on domain controllers

    To add a user or group as a DHCP administrator at a domain controller

    на контроллерах домена делегирование, администрированием DHCP сервиса будет ограничено, если вы не администратор домена.


    Проверьте на рядовом сервере отработают ли права там.
    • Изменено Nikonov Aleksei 31 мая 2016 г. 16:45
    • Помечено в качестве ответа Nikita Lepekhin 1 июня 2016 г. 5:01
  • Ооо... спасибо.

    Развернуть новый DHCP смогу позже. А пока что, видимо, помечаю ваш комментарий как ответ.