DHCP-Server autorisieren ohne Organisations-Admin-Rechte

Um in einer Active-Directory-Umgebung einen auf Windows 2000/2003 basierenden DHCP-Server zu integrieren, muss man Organisationsadministratorrechte besitzen. Gerade in größeren Netzwerken ist dies problematisch, da mehrere Domänen in einer Gesamtstruktur existieren können. Hier müssten die einzelnen Domänenadministratoren bei jeder Installation eines DHCP-Servers den Organisationsadministrator bitten, diesen neuen Server zu autorisieren.Um dieses Problem zu umgehen, müssen Berechtigungen in der Konfigurationspartition angepasst werden.

Microsoft beschreibt das Vorgehen in folgendem Artikel:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/c8580ddf-bd29-4d31-9df9-eaeeaa37a1e9.mspx?mfr=true

Leider geht Microsoft hier sehr großzügig mit den Berechtigungen um und gewährt den entsprechenden Benutzergruppen das Recht „Vollzugriff“ auf den Container:

CN=NetServices,CN=Services,CN=Configuration,DC= DOMÄNE, DC=DE

Wem das zu viel des Guten ist, kann dieses Recht auch wesentlich granularer delegieren. Als Erstes sollte man eine Benutzergruppe anlegen (z.B. DHCP-Autorisierer), an die man anschließend dieses Recht delegiert. Danach verbindet man sich mit der Konfigurationspartition des Active Directory mit dem Tool "adsiedit.msc". Folgende Rechte benötigt diese Gruppe für "CN=NetServices,CN=Services,CN=Configuration,DC=DOMÄNE,DC=DE":

Übernehmen für: „Nur dieses Objekt“
„dHCPClass erstellen“ zulassen
„dHCPClass löschen“ zulassen

Übernehmen für: „dHCPClass-Objekte“
„Inhalt auflisten“ zulassen
„Alle Eigenschaften lesen“ zulassen
„Alle Eigenschaften schreiben“ zulassen
„Löschen“ zulassen

Nach dem Erstellen dieser Berechtigungseinträge können auch Benutzer die nicht in der Gruppe der Organisationsadministratoren enthalten sind, einen DHCP Server autorisieren.