[文章]Authenticated Users对DNS读取写入权限的影响

 0  538 0

Authenticated Users对DNS读取写入权限的影响

汪瑞阳

【摘要】

当我们在普通的域成员服务器上添加DNS角色后，有时候会发现普通域用户对DNS记录具有增删改查的权限，这样的情况下对于我们DNS的运维安全存在着极大的隐患，本文重点介绍Authenticated Users组对于DNS权限的增删改查影响。

【正文】

1. 在普通域成员服务器上添加DNS角色（注意：此操作需要域账号allen01具有该域成员服务器本地管理员权限）

2. 打开DNS，发现会有以下提示，该提示表明我们allen01这个账号没有权限通过DNS管理工具远程连接到域控的DNS控制台

3. 使用域管理员身份登录域控DC01，打开DNS管理器，右键DC01，点击属性，定位到安全-->高级，发现默认情况下安全属性中没有Authenticated Users组

4. 点击添加，找到Authenticated Users组，并赋予该组读取权限，点击确定

5. 右键contoso.com区域，点击属性，定位到安全-->高级-->添加，找到Authenticated Users组，并赋予该组读取权限，点击确定

6. 在域成员服务器上再次打开DNS管理工具，发现已经可以连接域控DNS

尝试添加及删除A记录，发现添加失败，因为此时域认证通过用户组没有写入及删除权限

7. 赋予Authenticated Users写入权限后，尝试添加/删除DNS记录发现可以添加/删除相关记录，发现可以对DNS记录进行增删操作。