Logo faq-o-matic.net
Logo faq-o-matic.net

DHCP-Server autorisieren ohne Organisations-Admin-Rechte

von veröffentlicht am26. August 2006, 15:23 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Netzwerk, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Um in einer Active-Directory-Umgebung einen auf Windows 2000/2003 basierenden DHCP-Server zu integrieren, muss man Organisationsadministratorrechte besitzen. Gerade in größeren Netzwerken ist dies problematisch, da mehrere Domänen in einer Gesamtstruktur existieren können. Hier müssten die einzelnen Domänenadministratoren bei jeder Installation eines DHCP-Servers den Organisationsadministrator bitten, diesen neuen Server zu autorisieren.Um dieses Problem zu umgehen, müssen Berechtigungen in der Konfigurationspartition angepasst werden.

Microsoft beschreibt das Vorgehen in folgendem Artikel:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/c8580ddf-bd29-4d31-9df9-eaeeaa37a1e9.mspx?mfr=true

Leider geht Microsoft hier sehr großzügig mit den Berechtigungen um und gewährt den entsprechenden Benutzergruppen das Recht „Vollzugriff“ auf den Container:

CN=NetServices,CN=Services,CN=Configuration,DC= DOMÄNE, DC=DE

Wem das zu viel des Guten ist, kann dieses Recht auch wesentlich granularer delegieren. Als Erstes sollte man eine Benutzergruppe anlegen (z.B. DHCP-Autorisierer), an die man anschließend dieses Recht delegiert. Danach verbindet man sich mit der Konfigurationspartition des Active Directory mit dem Tool "adsiedit.msc". Folgende Rechte benötigt diese Gruppe für "CN=NetServices,CN=Services,CN=Configuration,DC=DOMÄNE,DC=DE":

Übernehmen für: „Nur dieses Objekt“
„dHCPClass erstellen“ zulassen
„dHCPClass löschen“ zulassen

Übernehmen für: „dHCPClass-Objekte“
„Inhalt auflisten“ zulassen
„Alle Eigenschaften lesen“ zulassen
„Alle Eigenschaften schreiben“ zulassen
„Löschen“ zulassen

Nach dem Erstellen dieser Berechtigungseinträge können auch Benutzer die nicht in der Gruppe der Organisationsadministratoren enthalten sind, einen DHCP Server autorisieren.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!