对于存储在标准 DNS 区域和 Active Directory 集成的 DNS 区域中的资源记录,以下域名系统 (DNS) 资源记录配置选项涉及安全方面:
管理存储在 Active Directory 域服务中的 DNS 资源记录上的 DACL
您可以使用随机访问控制列表 (DACL) 控制可以控制 DNS 资源记录的 Active Directory 用户和组的权限。有关详细信息,请参阅修改资源记录的安全性。
下表列出了存储在 Active Directory 域服务 (AD DS) 中的 DNS 资源记录的默认组或用户名及权限。
组名或用户名 | 权限 |
---|---|
Administrators |
允许:读取、写入、创建所有子对象、特殊权限 |
经过身份验证的用户 |
允许:创建所有子对象 |
创建者所有者 |
特殊权限 |
DnsAdmins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象、特殊权限 |
Domain Admins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
Enterprise Admins |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
企业域控制器 |
允许:完全控制、读取、写入、创建所有子对象、删除子对象、特殊权限 |
Everyone |
允许:读取、特殊权限 |
Windows 2000 以前版本兼容的访问 |
允许:特殊权限 |
系统 |
允许:完全控制、读取、写入、创建所有子对象、删除子对象 |
有关详细信息,请参阅 DNS 安全信息。