Авторизация DHCP сервера без прав Enterprise Admin

По умолчанию, авторизовать новый DHCP сервер в домене могут только члены группы «EnterpriseAdmins» (администраторы предприятия). В том случае, если попытаться авторизовать новый DHCP сервер из под другой учетной записи, то абсолютно справедливо появиться ошибка с отказом в доступе — «Access is denied«. Как же быть, если домен AD (или лес) большой, имеется множество территориальных подразделений с собственными администраторами и предоставление им прав администратора предприятия абсолютно нецелесообразно, но региональным админам периодически требуется поднимать новые DHCP сервера на своих площадках?

Решить эту проблему можно делегированием прав на авторизацию DHCP серверов группе региональных администраторов. Далее подробно опишем процедуру предоставления прав.

1. С правами учетной записи, обладающей правами администратора домена и предприятия запустите mmc консоль «Active Directory Sites and Services«.

2. В верхнем меню выберите пункт «View > Show Services Mode«.

3. Разверните раздел «Services > NetServices«, в нем содержатся записи обо всех авторизованных DHCP серверах домена.

4. Щелкните правой кнопкой мыши по каталогу «NetServices«, и запустите мастер делегации прав — «DelegateControl«.

5. На шаге мастера, на котором предлагается указать пользователей или группы, которым делегируются права, добавьте группу пользователей, которой будет разрешено авторизовать DHCP сервера в домене (например, AdminDHCP)

6. Нажмите «Next«.

7. На экране «Tasks to Delegate» выберите опцию «Create a custom task to delegate«.

8. Нажмите «Next«.

9. В окне «Active Directory Object Type» выберите «This folder, existing objects in this folder, and creation of new objects in this folder«.

10. Нажмите «Next«.

11. В окне «Permissions» задаются делегируемые права, выберем «FullControl«.

12. Жмем «Next» .

13. И, наконец, «Finish«.

Теперь все члены группы AdminDHCP могут авторизовать DHCP сервера в нашем домене AD.