При установке службы DHCP-сервера создаются две локальные группы домена: «Пользователи DHCP» и «Администраторы DHCP».

В версиях Windows, более ранних, чем Windows Server 2008 R2, служба DHCP запускалась в учетной записи «Локальная система» и обладала правами для создания групп в базе данных диспетчера учетных записей безопасности (SAM). Служба DHCP-сервера в Windows Server 2008 R2 перемещена в учетную запись сетевой службы, у которой меньше прав и которая не может создавать учетные записи. Для добавления групп и установки списков управления доступом (ACL) служба DHCP использует интерфейс API под названием DhcpAddSecurityGroups. Этот интерфейс API реализован в библиотеке Dhcpsapi.dll, а средство управления ролями запускает его после завершения установки роли DHCP-сервера.

Группа «Пользователи DHCP»

Члены группы «Пользователи DHCP» обладают доступом к серверу только для чтения с помощью оснастки DHCP консоли управления (MMC), которая позволяет им просматривать, но не изменять данные сервера, включая его конфигурацию, разделы реестра, файлы журнала DHCP и базу данных DHCP. «Пользователи DHCP» не могут создавать области, изменять значения параметров, создавать диапазоны резервирования или исключения и изменять конфигурацию DHCP-сервера другим способом.

Группа «Администраторы DHCP»

Члены группы «Администраторы DHCP» могут просматривать и изменять любые параметры DHCP-сервера. «Администраторы DHCP» могут создавать и удалять области, добавлять резервирования, изменять значения параметров, создавать суперобласти и выполнять другие задачи администрирования DHCP-сервера, включая экспорт и импорт конфигурации и базы данных DHCP-сервера.

Члены группы «Администраторы DHCP» не обладают неограниченными административными правами. Например, если DHCP-сервер также является DNS-сервером, член группы «Администраторы DHCP» может просматривать и изменять конфигурацию DHCP, но не может изменять конфигурацию DNS-сервера на том же компьютере.

Так как члены группы «Администраторы DHCP» обладают правами только на локальном компьютере, они не могут авторизовать или отменить авторизацию DHCP-серверов в доменных службах Active Directory (AD DS). Только члены группы «Администраторы домена» могут выполнить эту задачу. Если требуется авторизовать или отменить авторизацию DHCP-сервера в дочернем домене, нужны учетные данные администратора предприятия для родительского домена.

Примечание

Чтобы войти на компьютер как администратор предприятия, следует использовать учетную запись члена группы «Администраторы предприятия». Войти в эту группу можно, войдя в систему как локальный администратор на первом контроллере домена, созданном на предприятии.

Дополнительные ресурсы

Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.

Обновленные профессиональные сведения о DHCP см. в документации Windows Server 2008 на веб-сайте Microsoft TechNet (на английском языке).


Содержание