главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Во многих ситуациях интеграция зон DNS в Active Directory является самым оптимальным вариантом конфигурации. Кроме того, я очень люблю использовать запись CNAME для работы с приложениями — например, для подключения к базам данных с помощью ODBC. Однако трудность заключается в том, что разрешения DNS зависят от разрешений Active Directory, а в крупных организациях за администрирование Active Directory и за администрирование приложений, как правило, отвечают разные лица.

    Для решения этой проблемы я предлагаю привязывать некоторые разрешения непосредственно к записям DNS. Это позволит владельцам приложений или служб редактировать данные записи. Разумеется, процесс будет полностью контролируемым. Применение этого метода допустимо лишь в следующих ситуациях:

    • Только для записей CNAME или Alias, соответствующих статическим объектам. Для динамических объектов, например, учетных записей, этот прием не используется.
    • Только для зон DNS в доменах, не принадлежащих Active Directory.
    • Только при наличии строгой политики редактирования записей DNS в делегированных конфигурациях. Например, владельцам приложений можно запретить редактирование записей домена из консоли DNS. Вместо этого можно использовать сценарий, предусматривающий выполнение DNSCMD или любой другой команды для изменения записи DNS и отправки уведомлений об этом администратору.

    На рис. A показан образец такого объекта DNS.

    Делегирование прав редактирования записей DNS
    Рисунок A. Нажмите на изображении для увеличения.


    Обратите внимание: в домене «delegated.rwvdev.intra» присутствует всего одна запись — «DB-Application-Prod.delegated.rwvdev.intra». На рисунке показана конфигурация безопасности для этой записи. Здесь можно присваивать учетным записям Windows Active Directory права редактирования этой записи. Определить, когда запись была изменена последний раз, можно по метке даты DNS.

    А что вы думаете о присвоении отдельным учетным записям прав редактирования DNS на таких условиях? Обязательно ли возлагать эту задачу на сетевых администраторов? Поделитесь своим мнением в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Ищем пустую группу в Active Directory.
  • Настройка собственных значков сетей для доменов Active Directory с помощью групповой политики
  • Настройка расщепления DNS в интегрированных с Active Directory зонах
  • Рекомендации по виртуализации Active Directory
  • Управление конфигурацией DNS-суффиксов с помощью групповой политики



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+