DNS Administration delegieren

[Beetlejuice 11]

Hallo zusammen,
 
ich möchte gerne die Verwaltung einiger Zonen (Forward + Reverse) an eine spezielle Admin Gruppe delegieren.
 
Jetzt kann ich das zwar über die DNS MMC, die Gruppe einzeln in alle Zonen eintragen, was aber auf dauer aufwendig ist. Jetzt wollte ich das via "dsacls" umsetzten, jedoch findet er hier keine Objekte.
 

dsacls.exe dc=vpn,cn=MicrosoftDNS,cn=system,dc=meine,dc=domain,dc=de

Nachdem ich das via ADSIEditor geprüft habe, scheint es so, dass nicht alle DNZ Zonen im AD gespeichert sind, obwohl das für die Zone im DNS angezeigt wird.

Ich sehe hier nur wenige Reverse-Zonen und 2 alte Forward Zonen. Die Ad Domain ist ebenfalls nicht enthalten.

 

Gibt es eine andere Application-Partition, wo die Zonen und die Daten gespeichert werden?

Sind die Daten versteckt, dass ich diese nicht sehen kann?

Gibt es noch eine andere Möglichkeit die Berechtigung zu delegieren?

 

Danke

[NilsK 2.991]

Moin,

 

ja, seit geraumer Zeit werden DNS-Zonen in einer eigenen Partition gespeichert. Die bei dir noch in der Domänenpartition vorhandenen Zonen dürften älteren Datums sein.

 

Wenn du in ADSI Edit den Eintrag "rootDSE" verbindest und in dessen Eigenschaften schaust, siehst du unter namingContexts die vorhandenen AD-Partitionen. Die kannst du dann wiederum in ADSI Edit öffnen, um die Zonen und deren DNs ausfindig zu machen.

 

Gruß, Nils

bearbeitet 29. November 2017 von NilsK

[Beetlejuice 11]

Danke für die schnelle Antwort, damit hast du mir geholfen.

 

Die noch vorhandenen Zonen waren tatsächlich im Windows 2000 compatible modus.

 

In dem folgenden Artikel habe ich auch noch interessantes zum veralten von DNS in PowerShell gefunden.

http://www.tomsitpro.com/articles/powershell-dns-record-permissions,2-930.html

 

Viele Grüße,

Henry