Mer om säkerhetsgrupper för DHCP

När du installerar tjänsten DHCP Server skapas två lokala domängrupper: DHCP-användare och DHCP-administratörer.

I versioner av Windows som är äldre än Windows Server 2008 R2 användes DHCP-tjänsten (Dynamic Host Configuration Protocol) i det lokala systemkontot med behörigheter för att skapa grupperna i SAM-databasen (Security Accounts Manager). Tjänsten DHCP Server i Windows Server 2008 R2 har flyttats till kontot Nätverkstjänst, som har minskad behörighet och inte kan skapa säkerhetskonton. DHCP använder ett API (application programming interface) som kallas DhcpAddSecurityGroups för att underlätta när säkerhetsgrupper och åtkomstkontrollistor läggs till. Detta API är implementerat i Dhcpsapi.dll och Rollhanteringsverktyget startar detta API när installationen av serverrollen för DHCP Server är klar.

Medlemmar i gruppen DHCP-användare har endast läsbehörighet för servern via snapin-modulen DHCP i MMC (Microsoft Management Console), vilket gör att de kan visa men inte ändra serverdata, bland annat konfiguration av DHCP-servern, registernycklar, DHCP-loggfiler och DHCP-databasen. DHCP-användare kan inte skapa scope, ändra värden för alternativ, skapa reservationer eller exkluderade intervall eller ändra konfigurationen för DHCP-servern på något annat sätt.

Medlemmar i gruppen DHCP-administratörer kan visa och ändra alla inställningar på DHCP-servern. DHCP-administratörer kan skapa och ta bort scope, lägga till reservationer, ändra värden för alternativ, skapa superscope eller utföra andra åtgärder som krävs för att administrera DHCP-servern, bland annat exportera eller importera konfigurationen för DHCP-servern och -databasen.

Medlemmar i gruppen DHCP-administratörer har inte obegränsat med administratörsrättigheter. Om en DHCP-server t.ex. även är konfigurerad som en DNS-server (Domain Name System) kan en medlem i gruppen DHCP-administratörer visa eller ändra DHCP-konfigurationen, men inte DNS-serverkonfigurationen på samma dator.

Eftersom medlemmarna i gruppen DHCP-administratörer bara har behörigheter på den lokala datorn kan de inte auktorisera eller ta bort auktorisationen för DHCP-servrar i AD DS (Active Directory Domain Services). Det är bara medlemmar i gruppen Domänadministratörer som kan göra det. Om du vill auktorisera eller ta bort auktorisationen för en DHCP-server i en underliggande domän måste du ha autentiseringsuppgifter som företagsadministratör för den överordnade domänen.

	OBS
	Om du vill logga in som företagsadministratör måste du använda ett medlemskonto i gruppen Företagsadministratörer. Du kan gå med i den här gruppen genom att logga in som lokal administratör på den första domänkontrollanten som skapades på företaget.

Information finns i en lista med hjälpavsnitt i Rekommenderade åtgärder för DHCP-serverrollen.

Uppdaterad detaljinformation om DHCP för IT-personal finns i Windows Server 2008-dokumentationen på webbplatsen Microsoft TechNet (sidan kan vara på engelska).