Как дать права на DHCP сервер в Windows Server

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами решили проблему синего экрана whea uncorrectable error. Движемся дальше, сегодня поговорим про делегирование прав. Когда я только начинал изучать серверные технологии Microsoft и читал соответствующие книги, которые готовили меня к сдаче сертифицированных экзаменов, меня всегда удивляло, что автор описывает обыденную ситуацию, когда системный администратор передавал задачу по выпуску учетных записей для новых сотрудников на отдел кадров. Я просто представлял, как бы это выглядело, если бы тем бабушкам, которые у нас работали сказать, что нужно еще что-то делать в AD, придумывать пароли и так далее. Но со временем я понимал, что администратор не может и не должен все делать, а должен стараться все делегировать. Самый распространенный вариант, это когда в компании есть несколько линий поддержки, и для рутинной задачи, можно дать некий набор прав позволяющих, что-то делать. Так техническая поддержка, например может сбрасывать пароли у пользователей или переносить их по OU или добавлять в группы. Порой необходимо давать права и на роли Windows Server, сегодня я покажу, как дать права на DHCP сервер.

Постановка задачи

Необходимо делегировать права на чтение или полные для другого сотрудника на DHCP сервер, работающий на платформе Windows Server 2012 R2 или выше.

Алгоритм делегирования прав на DHCP

Ранее мы с вами подробно разбирали процесс установки и настройки DHCP сервера в Windows Server. Нужно понимать, что роль может быть установлена, как на контроллере домена в вашей Active Directory, так и на отдельном сервере, от этого будет варьироваться метод выполнения задачи.

Существует три варианта предоставления к нему прав:

• Если, DHCP работает на контроллере домена, то вы можете предоставить к нему права через встроенные Bultin группы в вашем Active Directory
• Если DHCP работает на отдельном сервере, то вы можете делегировать на него права, через системные группы операционной системы
• Последний метод, не правильный, это предоставление административных прав на сам Windows сервер, но все зависит от ваших задач.

Делегирование прав на DHCP на контроллере домена

Если вы зайдете на контроллере домена в оснастку "Управление компьютером", то вы не обнаружите там возможность посмотреть и изменить членство в локальных группах, там убрана такая возможность, но если запустить PowerShell или открыть командную строку, и ввести команду:

То вы увидите, что группы все же присутствуют на контроллере. Среди них есть две необходимые:

• Администраторы DHCP - дает полные права управление на данный сервис
• Пользователи DHCP - Дает права только для чтения

Кстати если вы попытаетесь подключиться через Windows Admin Center, то увидите ошибку "Этот инструмент нельзя использовать при подключении к контроллеру домена."

Чтобы добавить нужного вам сотрудника или группу пользователей в эти группы, вам необходимо открыть оснастку "Active Directory - Пользователи и компьютеры" ADUC. Перейти там в контейнер "Users" и найти там встроенные группы:

• Администраторы DHCP - Сюда я добавлю пользователя Барбоскина Геннадия
• Пользователи DHCP - Сюда добавлю пользователя домовенка Бубу

Проверяем права через оснастку DHCP, которую вы можете добавить через установку пакета RSAT. Первым я проверю права для Барбоскина Геннадия, у него они должны быть полные. Как видно, я могу перезапускать сервис и изменять настройки области.

Теперь посмотрим появились ли права у Бубы. Как видим поля активные,

но при сохранении изменений вам будет выводиться, что "Отказано в доступе".

Делегирование прав на DHCP на отдельном сервере

Тут алгоритм предоставления прав на сервис такой же, вам нужно в локальные группы, которые есть на нужном сервере добавить пользователей. Напоминаю, найти их можно в оснастке lusrmgr.msc. Те же группы Администраторы и пользователи DHCP.

Делегирование прав на DHCP через групповую политику

с моей стороны нужно стараться все централизовывать, и назначение прав на серверах не исключение. Групповая политика в этом поможет, и ее большой плюс от ручной настройки, что в случае изменения на локальном сервере, она все вернет как было в течении 120 минут. Открываем оснастку "Управление групповой политикой", создаем новую или редактируем существующую политику. Я создам новую, назову ее "Добавление прав на DHCP" и применю ее к нужному организационному подразделению.

Переходим по пути:

Добавляем ваши группы "Пользователи DHCP" и "Администраторы DHCP". Тут мы добавим доменные группы, или так же просто добавим локальные без префикса домена.

В итоге у меня получилось 4 группы, две для контроллера и две для рядового сервера, тут все зависит от того, как у вас разнесена служба DHCP.

Учтите, что если у вас сервера на английском языке, то группы так же должны быть по английски. Далее начинаем наполнение данных групп.

Плюсом такого подхода будет то, что при применении политики все остальные члены группы будут удалены. У меня получилось вот так, теперь обновив групповую политику вы получите нужный эффект.

Второй метод добавление пользователей или группы в группы DHCP, это использование в GPO параметров панели управления. Чтобы предоставить права на DHCP сервер, вам необходимо пройти по пути:

На пустом пространстве щелкаем правым кликом и создаем новую группу.

В имени группы нажмите кнопку поиска, далее нажимаем "Дополнительно". Находим группу "Администраторы DHCP".

В действии выбираем пункт "Обновить". Выставите галки:

• Удалить всех пользователей членов этой группы
• Удалить все группы члены этой группы

Делаем мы это для того, чтобы если кто-то добавил на сервере ручками, все это почистилось политикой. Тоже самое делаем и для группы пользователи DHCP. Обновляем политику и проверяем. Вот такой простой метод делегирования прав управления и чтения данных с DHCP сервера на Windows Server. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.