Anhang: Setup mit geringsten Rechten

  • Artikel

Betrifft: Operations Manager 2007

Das Windows Server-DN-Management Pack unterstützt Überwachungsszenarios mit geringen Rechten durch die Verwendung des DNS-Aktionskontos. Die folgenden Informationen umfassen die genauen Berechtigungen, die erforderlich sind. Danach wird das richtige Einrichten dieser Berechtigungen beschrieben.

Hinweis

Das Konfigurieren der am wenigsten expliziten DNS-Berechtigungen ist äußerst schwierig. Microsoft empfiehlt, dass Sie diese Schritte in einer Testumgebung üben, bevor Sie die Produktionsumgebung ändern.

Nicht unterstützte Konfigurationen

Aufgrund von Produkteinschränkungen bei DNS Server wird das Szenario mit geringsten Bedingungen für DNS-Server, die einer Domäne angehören und keine Domänencontroller sind, nicht unterstützt.

Zusammenfassung zu Berechtigungen

Für das Aktionskonto sind die folgenden Berechtigungen erforderlich:

  • Lokale Anmeldeberechtigung

  • Mitglied der DNS-Administratorgruppe

  • Vollzugriff auf das Operations Manager-Arbeitsverzeichnis

  • Mitglied der Gruppe Ereignisprotokollleser

  • Mitglied der Gruppe Systemmonitorbenutzer

  • Leseberechtigung für Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)

  • Vollzugriff auf den DNS-Serverdienst für DnsAdmins-Konto

  • Vollzugriff auf Dienststeuerungs-Manager für DnsAdmins-Konto

Lokale Anmeldeberechtigungen

Festlegen von lokalen Anmeldeberechtigungen

  1. Fügen Sie das Aktionskonto der Liste der Konten in der Berechtigung Lokal anmelden zulassen hinzu. Verwenden Sie gpedit.msc für Arbeitsgruppenmodusserver oder die Gruppenrichtlinien-Verwaltungskonsole für Computer, die einer Domäne angehören.

  2. Bearbeiten Sie die Standarddomänencontrollerrichtlinie für DNS-Server, die auf Domänencontrollern gehostet werden.

Erweitern Sie zum Suchen der Standarddomänencontrollerrichtlinie mithilfe der Gruppenrichtlinien-Verwaltungskonsole Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.

DNS-Administratorberechtigungen

Festlegen von DNS-Administratorberechtigungen durch Hinzufügen des Aktionskontos zur Gruppe "DnsAdmins"

  1. Öffnen Sie Active Directory-Benutzer und -Computer.

  2. Öffnen Sie den Ordner Benutzer.

  3. Fügen Sie das Aktionskonto der Mitgliedschaftsliste hinzu.

Berechtigungen für das Operations Manager-Arbeitsverzeichnis

Festlegen von Berechtigungen für das Operations Manager-Arbeitsverzeichnis mit Windows-Explorer

  • Wählen Sie das Arbeitsverzeichnis aus. Das Standardarbeitsverzeichnis ist C:\Programme\System Center Operations Manager 2007\Health Service State.

    note
    Es sind die Berechtigungen zum Lesen, Schreiben, Ausführen, Erstellen und Löschen für den Ordner, einschließlich aller Unterordner, erforderlich.

Leseberechtigungen für das Ereignisprotokoll

Gewähren Sie dem Aktionskonto Leseberechtigung für die Ereignisprotokolle.

Dies kann lokal oder durch Gruppenrichtlinien erfolgen.

Anweisungen hierzu finden Sie im Artikel Sicherheit des Ereignisprotokolls lokal oder mithilfe von Gruppenrichtlinien in Windows Server 2003 einrichten.

Systemmonitorberechtigungen

Festlegen von Systemmonitorberechtigungen durch Hinzufügen des Aktionskontos zur Gruppe "Systemmonitorbenutzer"

  1. Öffnen Sie Active Directory-Benutzer und -Computer.

  2. Öffnen Sie den Ordner Integriert.

  3. Fügen Sie das Aktionskonto der Mitgliedschaftsliste hinzu.

WMI-Leseberechtigungen

Festlegen von WMI-Leseberechtigungen

  1. Gewähren Sie dem Aktionskonto Leseberechtigungen für den Abschnitt MicrosoftDNS im WMI-Repository.

  2. Öffnen Sie wmimgmt.msc.

  3. Klicken Sie mit der rechten Maustaste auf das Stammobjekt.

  4. Klicken Sie auf Eigenschaften.

  5. Klicken Sie auf MicrosoftDNS.

  6. Fügen Sie das Aktionskonto der Mitgliedschaftsliste hinzu.

Berechtigungen für den DNS-Serverdienst

Gewähren Sie der Gruppe DnsAdmins Vollzugriff.

Es folgt ein Beispiel für die Syntax des Befehls:

  • sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;action account SID);<vorhandene Berechtigungen>.

Starten Sie zum Bestimmen der vorhandenen Berechtigungen sc sdshow dns, und notieren Sie die Ergebnisse.

Kopieren Sie zum Bestimmen der Sicherheits-ID (SID) der Gruppe DnsAdmins das Skript in Anhang: Skripts in diesem Management Pack, und führen Sie es aus.

Beispiel: sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)

Berechtigungen für den Dienststeuerungs-Manager

Gewähren Sie der Gruppe DnsAdmins Vollzugriff.

Es folgt ein Beispiel für die Syntax des Befehls:

sc sdset scmanager D:(A;;0xF003F;;;action account SID);<vorhandene Berechtigungen>.

Starten Sie zum Bestimmen der vorhandenen Berechtigungen sc sdshow scmanager, und notieren Sie die Ergebnisse.

Kopieren Sie zum Bestimmen der SID der Gruppe DNS-Administratoren das Skript in Anhang: Skripts in diesem Management Pack, und führen Sie es aus.

Beispiel: sc sdset scmanager D:(A;;0xF003F;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)