附錄：最低權限安裝

發行項
05/12/2011

適用於: Operations Manager 2007

Windows Server DNS 管理組件透過使用 DNS 動作帳戶支援低權限監視案例。下列資訊詳細說明必要的確切權限，以及正確設定權限的步驟。

注意

明確設定 DNS 最低權限極為困難。Microsoft 建議先以實驗性設定練習這些步驟，然後再變更生產環境。

不支援的設定

由於 DNS 伺服器產品限制，已加入網域但不是網域控制站的 DNS 伺服器不支援最低權限案例。

權限摘要

此動作帳戶需要有下列權限：

本機登入權
DNS 系統管理員群組成員
Operations Manager 工作目錄的完整存取權
Event Log Readers 群組成員
Performance Monitor Users 群組成員
Windows Management Instrumentation (WMI) 讀取權
DNSAdmins 帳戶對 DNS 伺服器服務的完整存取權
DNSAdmins 帳戶對服務控制管理員的完整存取權

本機登入權限

設定本機登入權限

使用工作群組模式伺服器的 gpedit.msc 或已加入網域之電腦的 [群組原則管理主控台]，將動作帳戶新增至 [允許本機登入] 權限中的帳戶清單。
編輯位於網域控制站上 DNS 伺服器的預設網域控制站原則。

若要使用 [群組原則管理主控台] 找出預設網域控制站原則，請依序展開 [電腦設定]、[Windows 設定]、[安全性設定] 和 [本機原則]，然後按一下 [使用者權利指派]。

DNS 系統管理員權限

藉由將動作帳戶新增至 DNSAdmins 群組，以設定 DNS 系統管理員權限

開啟 [Active Directory 使用者和電腦]。
開啟 [使用者] 資料夾。
將動作帳戶新增至成員資格清單。

Operations Manager 工作目錄權限

使用 Windows 檔案總管設定 Operations Manager 工作目錄權限

選取工作目錄。預設工作目錄為 C:\Program Files\System Center Operations Manager 2007\Health Service State。

必要權限包含資料夾 (包括所有子資料夾) 的讀取、寫入、執行、建立和刪除。


必要權限包含資料夾 (包括所有子資料夾) 的讀取、寫入、執行、建立和刪除。

事件記錄檔讀取權限

將事件記錄檔的讀取權限授予動作帳戶。

這可在本機或透過群組原則來完成。

如需指示，請參閱標題為如何在本機或使用 Windows Server 2003 中的群組原則設定事件記錄檔安全性的文章。

效能監視權限

藉由將動作帳戶新增至 Performance Monitor Users 群組，以設定效能監視權限

開啟 [Active Directory 使用者和電腦]。
開啟 [內建式] 資料夾。
將動作帳戶新增至成員資格清單。

WMI 讀取權限

設定 WMI 讀取權限

將 WMI 存放庫 [MicrosoftDNS] 區段的讀取權限授予動作帳戶。
開啟 wmimgmt.msc。
以滑鼠右鍵按一下根物件。
按一下 [內容]。
按一下 [MicrosoftDNS]。
將動作帳戶新增至成員清單。

DNS 伺服器服務權限

將完整權限授予 DNSAdmins 群組。

下列為命令語法範例：

sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;action account SID);<現有權限>。

若要判斷現有權限，請啟動 sc sdshow dns 並記錄結果。

若要判斷 DNSAdmins 群組的安全性識別碼 (SID)，請複製並執行附錄：此管理組件中的指令碼中的指令碼。

範例：sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)

服務控制管理員權限