安装 DHCP 服务器服务时,将创建两个域本地组:DHCP 用户和 DHCP 管理员。
在 Windows Server 2008 R2 之前的 Windows 版本中,动态主机配置协议 (DHCP) 服务使用本地系统帐户运行,并拥有在安全帐户管理器 (SAM) 数据库中创建组的权限。Windows Server 2008 R2 中的 DHCP 服务器服务开始使用网络服务帐户,它的权限被降低并且不能创建安全帐户。为了便于添加安全组和设置访问控制列表 (ACL),DHCP 使用名为 DhcpAddSecurityGroups 的应用程序编程接口 (API)。此 API 在 Dhcpsapi.dll 中实现,并且角色管理工具将在 DHCP 服务器的服务器角色安装结束后启动此 API。
DHCP Users 组
DHCP Users 组的成员通过使用 DHCP Microsoft 管理员控制台 (MMC) 管理单元对服务器有只读权限,这允许 DHCP Users 用户查看(但不能修改)服务器数据,包括 DHCP 服务器配置、注册表项、DHCP 日志文件和 DHCP 数据库。DHCP Users 无法创建作用域、修改选项值、创建保留或排除范围,或以任何其他方式修改 DHCP 服务器配置。
DHCP 管理员组
DHCP 管理员组的成员可以查看和修改 DHCP 服务器上的任何设置。DHCP Administrators 可以创建和删除作用域、添加保留、更改选项值、创建超级作用域,或执行管理 DHCP 服务器所需的任何其他任务,包括导出和导入 DHCP 服务器配置和数据库。
DHCP 管理员组的成员没有无限的管理权限。例如,如果将 DHCP 服务器也配置为域名系统 (DNS) 服务器,DHCP 管理员组的成员只能查看和修改 DHCP 配置,但不得修改同一计算机上的 DNS 服务器配置。
由于 DHCP 管理员组的成员仅有本地计算机上的权限,因此 DHCP Administrators 无法授权或取消授权 Active Directory 域服务 (AD DS) 中的 DHCP 服务器。只有 Domain Admins 组的成员才能执行该任务。若要授权或取消授权子域中的 DHCP 服务器,必须具有父域的企业管理员凭据。
 | 注意 |
|
若要作为企业管理员登录,必须使用 Enterprise Admins 组中的成员帐户登录。可以作为在企业中创建的第一个域控制器上的本地管理员登录,来加入这一组。 |
其他资源
有关提供相关信息的帮助主题的列表,请参阅 DHCP 服务器角色的推荐任务。
有关 DHCP 的更新详细 IT 专业人员信息,请参阅位于