За замовчуванням, авторизувати новий DHCP сервер в домені можуть тільки члени групи «EnterpriseAdmins»(Адміністратори підприємства). У тому випадку, якщо спробувати авторизувати новий DHCP сервер з під іншого облікового запису, то абсолютно справедливо з'явитися помилка з відмовою у доступі - «Access is denied«. Як же бути, якщо домен AD (або ліс) великий, є безліч територіальних підрозділів з власними адміністраторами та надання їм прав адміністратора підприємства абсолютно недоцільно, але регіональним адмінам періодично потрібно піднімати нові DHCP сервера на своїх майданчиках?
Вирішити цю проблему можна делегуванням прав на авторизацію DHCP серверів групі регіональних адміністраторів. Далі докладно опишемо процедуру надання прав.
1. З правами облікового запису, що володіє правами адміністратора домену та підприємства запустіть mmc консоль «Active Directory Sites and Services«.
2. У верхньому меню виберіть пункт «View> Show Services Mode«.
3. Розгорніть розділ «Services > NetServices«, В ньому містяться записи про всі авторизованих DHCP серверах домена.
4. Клацніть правою кнопкою миші по каталогу «NetServices«, І запустіть майстер делегації прав -«DelegateControl«.
5. На кроці майстра, на якому пропонується вказати осіб чи груп, яким делегуються права, додайте групу користувачів, якій буде дозволено авторизувати DHCP сервера в домені (наприклад, AdminDHCP)
6. Натисніть «Next«.
7. На екрані «Tasks to Delegate»Виберіть опцію«Create a custom task to delegate«.
8. Натисніть «Next«.
9. У вікні «Active Directory Object Type" Виберіть "This folder, existing objects in this folder, and creation of new objects in this folder«.
10. Натисніть «Next«.
11. У вікні «Permissions»Задаються делеговані права, виберемо«FullControl«.
12. Тиснемо «Next» .
13. І, нарешті, «Finish«.
Тепер усі члени групи AdminDHCP можуть авторизувати DHCP сервера в нашому домені AD.
