附錄:最低權限安裝

適用於: Operations Manager 2007

Windows Server DNS 管理組件透過使用 DNS 動作帳戶支援低權限監視案例。 下列資訊詳細說明必要的確切權限,以及正確設定權限的步驟。

note附註
明確設定 DNS 最低權限極為困難。Microsoft 建議先以實驗性設定練習這些步驟,然後再變更生產環境。

不支援的設定

由於 DNS 伺服器產品限制,已加入網域但不是網域控制站的 DNS 伺服器不支援最低權限案例。

權限摘要

此動作帳戶需要有下列權限:

  • 本機登入權

  • DNS 系統管理員群組成員

  • Operations Manager 工作目錄的完整存取權

  • Event Log Readers 群組成員

  • Performance Monitor Users 群組成員

  • Windows Management Instrumentation (WMI) 讀取權

  • DNSAdmins 帳戶對 DNS 伺服器服務的完整存取權

  • DNSAdmins 帳戶對服務控制管理員的完整存取權

本機登入權限

設定本機登入權限

  1. 使用工作群組模式伺服器的 gpedit.msc 或已加入網域之電腦的 [群組原則管理主控台],將動作帳戶新增至 [允許本機登入] 權限中的帳戶清單。

  2. 編輯位於網域控制站上 DNS 伺服器的預設網域控制站原則。

若要使用 [群組原則管理主控台] 找出預設網域控制站原則,請依序展開 [電腦設定]、[Windows 設定]、[安全性設定] 和 [本機原則],然後按一下 [使用者權利指派]。

DNS 系統管理員權限

藉由將動作帳戶新增至 DNSAdmins 群組,以設定 DNS 系統管理員權限

  1. 開啟 [Active Directory 使用者和電腦]。

  2. 開啟 [使用者] 資料夾。

  3. 將動作帳戶新增至成員資格清單。

Operations Manager 工作目錄權限

使用 Windows 檔案總管設定 Operations Manager 工作目錄權限

  • 選取工作目錄。預設工作目錄為 C:\Program Files\System Center Operations Manager 2007\Health Service State。

    note
    必要權限包含資料夾 (包括所有子資料夾) 的讀取、寫入、執行、建立和刪除。

事件記錄檔讀取權限

將事件記錄檔的讀取權限授予動作帳戶。

這可在本機或透過群組原則來完成。

如需指示,請參閱標題為如何在本機或使用 Windows Server 2003 中的群組原則設定事件記錄檔安全性的文章。

效能監視權限

藉由將動作帳戶新增至 Performance Monitor Users 群組,以設定效能監視權限

  1. 開啟 [Active Directory 使用者和電腦]。

  2. 開啟 [內建式] 資料夾。

  3. 將動作帳戶新增至成員資格清單。

WMI 讀取權限

設定 WMI 讀取權限

  1. 將 WMI 存放庫 [MicrosoftDNS] 區段的讀取權限授予動作帳戶。

  2. 開啟 wmimgmt.msc

  3. 以滑鼠右鍵按一下根物件。

  4. 按一下 [內容]。

  5. 按一下 [MicrosoftDNS]。

  6. 將動作帳戶新增至成員清單。

DNS 伺服器服務權限

將完整權限授予 DNSAdmins 群組。

下列為命令語法範例:

  • sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;action account SID);<現有權限>。

若要判斷現有權限,請啟動 sc sdshow dns 並記錄結果。

若要判斷 DNSAdmins 群組的安全性識別碼 (SID),請複製並執行附錄:此管理組件中的指令碼中的指令碼。

範例:sc sdset dns D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)

服務控制管理員權限

將完整權限授予 DNSAdmins 群組。

下列為命令語法範例:

sc sdset scmanager D:(A;;0xF003F;;;action account SID);<現有權限>。

若要判斷現有權限,請啟動 sc sdshow scmanager 並記錄結果。

若要判斷 DNS Admins 群組的 SID,請複製並執行附錄:此管理組件中的指令碼的指令碼。

範例:sc sdset scmanager D:(A;;0xF003F;;;S-1-5-21-1038194580-2588225604-174952363-1107)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

社群新增項目

顯示: