Во многих ситуациях интеграция зон DNS в Active Directory является самым оптимальным вариантом конфигурации. Кроме того, я очень люблю использовать запись CNAME для работы с приложениями — например, для подключения к базам данных с помощью ODBC. Однако трудность заключается в том, что разрешения DNS зависят от разрешений Active Directory, а в крупных организациях за администрирование Active Directory и за администрирование приложений, как правило, отвечают разные лица.
Для решения этой проблемы я предлагаю привязывать некоторые разрешения непосредственно к записям DNS. Это позволит владельцам приложений или служб редактировать данные записи. Разумеется, процесс будет полностью контролируемым. Применение этого метода допустимо лишь в следующих ситуациях:
• Только для записей CNAME или Alias, соответствующих статическим объектам. Для динамических объектов, например, учетных записей, этот прием не используется. • Только для зон DNS в доменах, не принадлежащих Active Directory. • Только при наличии строгой политики редактирования записей DNS в делегированных конфигурациях. Например, владельцам приложений можно запретить редактирование записей домена из консоли DNS. Вместо этого можно использовать сценарий, предусматривающий выполнение DNSCMD или любой другой команды для изменения записи DNS и отправки уведомлений об этом администратору.
На рис. A показан образец такого объекта DNS.
Рисунок A. Нажмите на изображении для увеличения.
Обратите внимание: в домене «delegated.rwvdev.intra» присутствует всего одна запись — «DB-Application-Prod.delegated.rwvdev.intra». На рисунке показана конфигурация безопасности для этой записи. Здесь можно присваивать учетным записям Windows Active Directory права редактирования этой записи. Определить, когда запись была изменена последний раз, можно по метке даты DNS.
А что вы думаете о присвоении отдельным учетным записям прав редактирования DNS на таких условиях? Обязательно ли возлагать эту задачу на сетевых администраторов? Поделитесь своим мнением в комментариях!
