Logo faq-o-matic.net
Logo faq-o-matic.net

DHCP-Server autorisieren ohne Organisations-Admin-Rechte

26 Aug 2006
von veröffentlicht am26. August 2006, 15:23 Uhr Kurzlink http://faq-o-matic.net/?p=611 Zitatlink
Kategorie Kategorie: Active Directory, Netzwerk, Sicherheit   Translate with Microsoft Translator Translate EN

Um in einer Active-Directory-Umgebung einen auf Windows 2000/2003 basierenden DHCP-Server zu integrieren, muss man Organisationsadministratorrechte besitzen. Gerade in größeren Netzwerken ist dies problematisch, da mehrere Domänen in einer Gesamtstruktur existieren können. Hier müssten die einzelnen Domänenadministratoren bei jeder Installation eines DHCP-Servers den Organisationsadministrator bitten, diesen neuen Server zu autorisieren.Um dieses Problem zu umgehen, müssen Berechtigungen in der Konfigurationspartition angepasst werden.

Microsoft beschreibt das Vorgehen in folgendem Artikel:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/c8580ddf-bd29-4d31-9df9-eaeeaa37a1e9.mspx?mfr=true

Leider geht Microsoft hier sehr großzügig mit den Berechtigungen um und gewährt den entsprechenden Benutzergruppen das Recht "Vollzugriff" auf den Container:

CN=NetServices,CN=Services,CN=Configuration,DC= DOMÄNE, DC=DE

Wem das zu viel des Guten ist, kann dieses Recht auch wesentlich granularer delegieren. Als Erstes sollte man eine Benutzergruppe anlegen (z.B. DHCP-Autorisierer), an die man anschließend dieses Recht delegiert. Danach verbindet man sich mit der Konfigurationspartition des Active Directory mit dem Tool "adsiedit.msc". Folgende Rechte benötigt diese Gruppe für "CN=NetServices,CN=Services,CN=Configuration,DC=DOMÄNE,DC=DE":

Übernehmen für: "Nur dieses Objekt"
"dHCPClass erstellen" zulassen
"dHCPClass löschen" zulassen

Übernehmen für: "dHCPClass-Objekte"
"Inhalt auflisten" zulassen
"Alle Eigenschaften lesen" zulassen
"Alle Eigenschaften schreiben" zulassen
"Löschen" zulassen

Nach dem Erstellen dieser Berechtigungseinträge können auch Benutzer die nicht in der Gruppe der Organisationsadministratoren enthalten sind, einen DHCP Server autorisieren.

Verwandte Beiträge:

  1. DHCP Failover in Windows Server “8”
    Eine kleine, aber feine Änderung wird der DHCP-Dienst (voraussichtlich) im kommenden Windows Server “8” erfahren, der sich momentan noch in...
  2. Wie kann man einen DHCP-Server unter Windows ausfallsicher gestalten?
    Der erste Gedanke zielt an dieser Stelle meist in Richtung eines Cluster-Systems. Nachteile: Kosten und Komplexität. Wem das zu aufwändig...
  3. SQL Server 2008: Admins haben keine sysadmin-Rechte
    Mit SQL Server 2008 hat Microsoft das Sicherheitsmodell seines Datenbankservers geändert. Anders als zuvor, sind lokale Administratoren des Servers nun...
  4. Windows Server Core: Windows (fast) ohne Fenster
    Vorabversionen von Windows Server 2008 sind jetzt allgemein verfügbar. Neben vielen interessanten Features rückt damit auch eine neue Windows-Variante in...
  5. Dynamische DNS-Updates seit Vista nicht mehr per DHCP-Client
    Gerade machte Yusuf Dikmenoglu auf ein Detail aufmerksam, das ich noch nicht wusste: Seit Windows Vista bzw. Windows Server 2008...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=611
<<
>>

© 2005-2012 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!