我希望能够允许特定用户从我的 Active Directory 集成 DNS 区域中删除 DNS 记录。
一个区域被复制到域中 DC 上的所有 DNS 服务器(因此在 DomainDnsZones 中)。
另一个区域被复制到域中的所有域控制器(因此在域中的 CN=System、CN=MicrosoftDNS、DC=)。
反向查找区域被复制到林中的所有 DNS 服务器(因此在 ForestDNSZones 中)。
我尝试在 DomainDnsZones 中添加Delete区域All descendant objects,并在 ForestDNSZones 中添加适当的反向查找区域。例如,Get-Acl在 DomainDnsZone 上使用显示(针对指定帐户):
ActiveDirectoryRights : Delete
AccessControlType : Allow
InheritanceFlags : ContainerInherit
PropagationFlags : InheritOnly
InheritanceType : Descendents
但是当我尝试使用 删除示例记录时出现 ACCESS DENIED 错误DNSCMD。
为什么这还不够?我还需要做什么?
答案1
令人惊讶的是,这些信息如此难以找到。我无法找到任何有效解释这一点的资源,但我需要将记录的删除委托给服务帐户,并且我希望以最小的权限执行此操作。经过多次反复尝试,我想出了这个,应用于区域本身(这符合我的需求,您可能需要在 ADSI Edit 中将其提升一个级别):
Delete并Write all properties
应用于:All descendant objects
Read如果尚未通过其他会员资格授予,则您可能需要。
我特别没有需要Delete all child objects父母的帮助;这似乎没什么作用。