Anhang: Setup mit geringsten Rechten
Betrifft: Operations Manager 2007
Das Windows Server-DN-Management Pack unterstützt Überwachungsszenarios mit geringen Rechten durch die Verwendung des DNS-Aktionskontos. Die folgenden Informationen umfassen die genauen Berechtigungen, die erforderlich sind. Danach wird das richtige Einrichten dieser Berechtigungen beschrieben.
Hinweis
Das Konfigurieren der am wenigsten expliziten DNS-Berechtigungen ist äußerst schwierig. Microsoft empfiehlt, dass Sie diese Schritte in einer Testumgebung üben, bevor Sie die Produktionsumgebung ändern.
Nicht unterstützte Konfigurationen
Aufgrund von Produkteinschränkungen bei DNS Server wird das Szenario mit geringsten Bedingungen für DNS-Server, die einer Domäne angehören und keine Domänencontroller sind, nicht unterstützt.
Zusammenfassung zu Berechtigungen
Für das Aktionskonto sind die folgenden Berechtigungen erforderlich:
Lokale Anmeldeberechtigung
Mitglied der DNS-Administratorgruppe
Vollzugriff auf das Operations Manager-Arbeitsverzeichnis
Mitglied der Gruppe Ereignisprotokollleser
Mitglied der Gruppe Systemmonitorbenutzer
Leseberechtigung für Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)
Vollzugriff auf den DNS-Serverdienst für DnsAdmins-Konto
Vollzugriff auf Dienststeuerungs-Manager für DnsAdmins-Konto
Lokale Anmeldeberechtigungen
Festlegen von lokalen Anmeldeberechtigungen
Fügen Sie das Aktionskonto der Liste der Konten in der Berechtigung Lokal anmelden zulassen hinzu. Verwenden Sie
gpedit.msc
für Arbeitsgruppenmodusserver oder die Gruppenrichtlinien-Verwaltungskonsole für Computer, die einer Domäne angehören.Bearbeiten Sie die Standarddomänencontrollerrichtlinie für DNS-Server, die auf Domänencontrollern gehostet werden.
Erweitern Sie zum Suchen der Standarddomänencontrollerrichtlinie mithilfe der Gruppenrichtlinien-Verwaltungskonsole Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.
DNS-Administratorberechtigungen
Festlegen von DNS-Administratorberechtigungen durch Hinzufügen des Aktionskontos zur Gruppe "DnsAdmins"
Öffnen Sie Active Directory-Benutzer und -Computer.
Öffnen Sie den Ordner Benutzer.
Fügen Sie das Aktionskonto der Mitgliedschaftsliste hinzu.
Berechtigungen für das Operations Manager-Arbeitsverzeichnis
Festlegen von Berechtigungen für das Operations Manager-Arbeitsverzeichnis mit Windows-Explorer
Wählen Sie das Arbeitsverzeichnis aus. Das Standardarbeitsverzeichnis ist C:\Programme\System Center Operations Manager 2007\Health Service State.
Es sind die Berechtigungen zum Lesen, Schreiben, Ausführen, Erstellen und Löschen für den Ordner, einschließlich aller Unterordner, erforderlich.
Leseberechtigungen für das Ereignisprotokoll
Gewähren Sie dem Aktionskonto Leseberechtigung für die Ereignisprotokolle.
Dies kann lokal oder durch Gruppenrichtlinien erfolgen.
Anweisungen hierzu finden Sie im Artikel Sicherheit des Ereignisprotokolls lokal oder mithilfe von Gruppenrichtlinien in Windows Server 2003 einrichten.
Systemmonitorberechtigungen
Festlegen von Systemmonitorberechtigungen durch Hinzufügen des Aktionskontos zur Gruppe "Systemmonitorbenutzer"
Öffnen Sie Active Directory-Benutzer und -Computer.
Öffnen Sie den Ordner Integriert.
Fügen Sie das Aktionskonto der Mitgliedschaftsliste hinzu.
WMI-Leseberechtigungen
Festlegen von WMI-Leseberechtigungen
Gewähren Sie dem Aktionskonto Leseberechtigungen für den Abschnitt MicrosoftDNS im WMI-Repository.
Öffnen Sie
wmimgmt.msc
.Klicken Sie mit der rechten Maustaste auf das Stammobjekt.
Klicken Sie auf Eigenschaften.
Klicken Sie auf MicrosoftDNS.
Fügen Sie das Aktionskonto der Mitgliedschaftsliste hinzu.
Berechtigungen für den DNS-Serverdienst
Gewähren Sie der Gruppe DnsAdmins Vollzugriff.
Es folgt ein Beispiel für die Syntax des Befehls:
sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;action account SID);
<vorhandene Berechtigungen>.
Starten Sie zum Bestimmen der vorhandenen Berechtigungen sc sdshow dns, und notieren Sie die Ergebnisse.
Kopieren Sie zum Bestimmen der Sicherheits-ID (SID) der Gruppe DnsAdmins das Skript in Anhang: Skripts in diesem Management Pack, und führen Sie es aus.
Beispiel: sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)
Berechtigungen für den Dienststeuerungs-Manager
Gewähren Sie der Gruppe DnsAdmins Vollzugriff.
Es folgt ein Beispiel für die Syntax des Befehls:
sc sdset scmanager D:(A;;0xF003F;;;action account SID);
<vorhandene Berechtigungen>.
Starten Sie zum Bestimmen der vorhandenen Berechtigungen sc sdshow scmanager, und notieren Sie die Ergebnisse.
Kopieren Sie zum Bestimmen der SID der Gruppe DNS-Administratoren das Skript in Anhang: Skripts in diesem Management Pack, und führen Sie es aus.
Beispiel: sc sdset scmanager D:(A;;0xF003F;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)