none
Делегация прав администратора DHCP на standalone сервере. RRS feed

  • Общие обсуждения

  • Коллеги, столкнулся с трудностью делегации прав управления DHCP сервером на обособленном сервере во внедоменной среде.

    По существу:

    1. Сервер 2012R2.
    2. Установлены роли DNS+DHCP.
    3. Рабочая группа. Домен не предполагается.
    4. Добавление пользователя в группу "Администраторы DHCP" не дает результатов. Чтение мануалов дало понимание того, что данная группа дает права на администрирование данной роли только в доменной среде и при условии нахождения dhcp роли на контроллере домена.
    5. Выдавать пользователю права локального администратора крайне не хочется, искренне полагаю, что должны быть альтернативные методы.

    Как выдать права на администрирование dhcp пользовательской учетке?


    25 января 2016 г. 11:19

Все ответы

  • Группа "Администраторы DHCP" действует только на локальный сервер. По идее должно работать.

    Сазонов Илья

    https://isazonov.wordpress.com/

    25 января 2016 г. 13:23
    Модератор
  • Не работает. 

    Сейчас учетная запись состоит в группах: 

    1. Пользователи
    2. Пользователи удаленного рабочего стола
    3. Администраторы DHCP

    По итогу открываю из сервер менеджера "Tools - DHCP" - в открывшемся окне, выбираю в панели слева свой сервер, а вместо открытия дерева роли я вижу знак "кирпич", как у автомобилистов. 

    Членство в каких еще группах может понадобиться для подобной задачи?


    25 января 2016 г. 14:00
  • >> По итогу открываю из сервер менеджера "Tools - DHCP"

    открываете локально? уак включен?

    25 января 2016 г. 14:05
  • Да, открывается локально.

    Уак включен. Если честно, не пришла в голову мысль, что дело может быть в нем. Как пользователи закончат рабочий день - отключу и проверю, отпишу позже. Спасибо за идею.

    25 января 2016 г. 14:10
  • Попробуйте, должно получиться
    25 января 2016 г. 20:13
  • УАК отключил, но результата не дало.
    26 января 2016 г. 7:35
  • развернул виртуалку, щас попробуем посмотреть
    26 января 2016 г. 9:23
  • поднял 2008r2 виртуалку, настроил, работает.

    увидел что у вас 2012r2, чертыхнулся, поднял,настроил, работает. ЧЯДНТ?

    поднял голую 2012r2, поставил вмваре тулз

    1) воткнул роли дхцп\днс

    2) создал юзверя, закинул его в группы дхцп админс и ремоут десктоп юзерс

    3) отключил уак, разрешил подключаться к серваку по рдп

    4) зашел по рдп новой неадминской учеткой открыл консоль, завел дхцп, поднял скоп, активировал его.

    26 января 2016 г. 11:39
  • покажите вывод whoami /all

    что еще вы подкручивали на сервере?


    з.ы. вернул взад уак, залогинился консольно(не RDP)... вот все равно работает
    • Изменено Svolotch 26 января 2016 г. 11:51
    26 января 2016 г. 11:43
  • UAC то чем провинился? :-) Для обычной учетки!...

    Сазонов Илья

    https://isazonov.wordpress.com/

    26 января 2016 г. 11:51
    Модератор
  • UAC то чем провинился? :-) Для обычной учетки!...

    Сазонов Илья

    https://isazonov.wordpress.com/

    ну мало ли,

    была тут давеча проблемка, с тем что с уаком на DC обычные пользюки не могли aduc запускать

    26 января 2016 г. 12:00

  • PS C:\Users\eng1> whoami /all

    USER INFORMATION
    ----------------

    User Name     SID
    ============= ==============================================
    ws2012r2\eng1 S-1-5-21-2131343303-1130904616-3819745506-1005


    GROUP INFORMATION
    -----------------

    Group Name                             Type             SID                                            Attributes

    ====================================== ================ ============================================== ===============
    =================================
    Everyone                               Well-known group S-1-1-0                                        Mandatory group
    Enabled by default, Enabled group
    WS2012R2\Администраторы DHCP           Alias            S-1-5-21-2131343303-1130904616-3819745506-1002 Mandatory group
    Enabled by default, Enabled group
    BUILTIN\Remote Desktop Users           Alias            S-1-5-32-555                                   Mandatory group
    Enabled by default, Enabled group
    BUILTIN\Users                          Alias            S-1-5-32-545                                   Mandatory group
    Enabled by default, Enabled group
    NT AUTHORITY\REMOTE INTERACTIVE LOGON  Well-known group S-1-5-14                                       Mandatory group
    Enabled by default, Enabled group
    NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4                                        Mandatory group
    Enabled by default, Enabled group
    NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11                                       Mandatory group
    Enabled by default, Enabled group
    NT AUTHORITY\This Organization         Well-known group S-1-5-15                                       Mandatory group
    Enabled by default, Enabled group
    NT AUTHORITY\Local account             Well-known group S-1-5-113                                      Mandatory group
    Enabled by default, Enabled group
    LOCAL                                  Well-known group S-1-2-0                                        Mandatory group
    Enabled by default, Enabled group
    NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10                                    Mandatory group
    Enabled by default, Enabled group
    Mandatory Label\Medium Mandatory Level Label            S-1-16-8192



    PRIVILEGES INFORMATION
    ----------------------

    Privilege Name                Description                    State
    ============================= ============================== ========
    SeChangeNotifyPrivilege       Bypass traverse checking       Enabled
    SeIncreaseWorkingSetPrivilege Increase a process working set Disabled

    PS C:\Users\eng1>
    26 января 2016 г. 12:06
  • Все сделал так же как и Вы. (по идее:)

    Не могу выкладывать сюда изображения, поэтому извиняюсь, но на сторонний сервис выгрузил.

    UAC отключал в реестре, может быть дело в этом?

    itmag.es/1eRwl

    26 января 2016 г. 12:09