CertBase Community
Die Lernplattform für Ihren Erfolg

70-417 Frage 249

rated by 0 users
This post has 7 Replies | 4 Followers

Top 500 Mitwirkender
Beiträge 6
Boa Posted: Thu, 20. Nov 2014 14:41 | IP-Adresse ist Registriert

Hi zusammen,

wieso reicht bei Frage 249 nicht die BenutzerrolleIPAM-DHCP-Administrator?


Gruß
Boa

Top 10 Mitwirkender
Beiträge 166
mongo Antwort zu Sat, 22. Nov 2014 12:58 | IP-Adresse ist Registriert

Weil du Tom die Möglichkeit zur Verwaltung von Zugriffsbereichen geben sollst. Es geht also nicht darum, dass Tom DHCP-Server verwalten soll, sondern er soll bestimmen, wer auf die DHCP-Server innerhalb von IPAM Zugriff hat.

  • Abgelegt unter:
Top 500 Mitwirkender
Beiträge 6
Boa Antwort zu Wed, 03. Dec 2014 18:12 | IP-Adresse ist Registriert

Vielen Dank. Da hätte ich genauer hinschauen sollen :-)

Jetzt verstehe ich es.

Nicht gereiht
Beiträge 3
andreasluber53 Antwort zu Sat, 11. Jun 2016 17:23 | IP-Adresse ist Registriert

Hallo,

 

vielleicht hat sich die Frage mittlerweile verändert, aber nun lautet die Anforderung nicht mehr, dass Tom verwalten, sondern nur noch festlegen ("set access scope") soll. Und dafür reicht die IPAM DHCP Administrator Rolle.

Hier die Aufgabe:

"Sie müssen einem Benutzer mit dem Namen Tom die Möglichkeit geben, Zugriffsbereiche für alle DHCP-Server, die durch IPAM verwaltet werden, festzulegen."

 

Oder übersehe ich da was?

Mfg,

Andreas Luber

Top 10 Mitwirkender
Beiträge 166
mongo Antwort zu Sat, 11. Jun 2016 18:38 | IP-Adresse ist Registriert

andreasluber53:

Oder übersehe ich da was?

Ja, irgend etwas übersiehst du oder hast du falsch verstanden. Ob Tom nun Zugriffsbereiche verwalten oder festlegen soll ist unerheblich. In beiden Fällen braucht er dafür Berechtigungen. Und die hat nun mal nur ein IPAM-Administrator. Lies dir bitte auf dem von mir oben verlinkten TechNet-Artikel den Abschnitt über Zugriffsbereiche durch.

Vermutlich verwechselst du DHCP-Bereiche mit Zugriffsbereichen. Grob gesagt legt ein DHCP-Bereiche fest, welche IP-Adressen mit welchen DHCP-Optionen vergeben werden können. Ein Zugriffsbereich dagegen definiert, auf welche Teile von IPAM jemand Zugreifen kann.

Nicht gereiht
Beiträge 3
andreasluber53 Antwort zu Sun, 12. Jun 2016 8:09 | IP-Adresse ist Registriert

Hallo. Auch nach Lesen des Artikels bin ich nicht davon überzeugt, dass für diese Anforderung die IPAM-Admin-Rolle benötigt wird. Ja, nur ein IPAM Admin kann neue Access Scopes (Zugriffsbereiche) erzeugen. Von erzeugen ist hier nicht die Rede. Vielmehr geht es darum, erzeugte / vorhandene Access Scopes (Zugrffsbereiche) IPAM Objekten wie DHCP Server / DHCP Scopes zuzuweisen. Laut IPAM Konsole hat die DHCP Admin Rolle genau diese Rechte (Screenshot meiner Test-VM unter W2012R2). Und mein Test (Domain User -> Zuweisung "DHCP Admin Role" per Access Policy) bestätigt das. Mit der Rolle DHCP Admin kann man bestehende Access Scopes frei an DHCP Servern zuweisen, verändern.

Insofern macht es sehr wohl einen Unterschied ob Tom Zugriffsbereich verwalten soll, was nur der IPAM Admin kann, oder festlegen soll, was zB die Rollen DHCP Admin, MSM Admin, ASM Admin können.

Gruß, Andreas

Ihr Firmennetzwerk umfasst einen Windows Server 2012 R2 Mitgliedserver mit dem Namen Server1. Sie installieren das Feature IP-Adressverwaltungsserver (IPAM) auf Server1. 

Sie müssen einem Benutzer mit dem Namen Tom die Möglichkeit geben, Zugriffsbereiche für alle DHCP-Server, die durch IPAM verwaltet werden, festzulegen. Ihre Lösung muss dem Prinzip der Vergabe geringstmöglicher Privilegien folgen. 

Top 10 Mitwirkender
Beiträge 1,618
Maik Antwort zu Sun, 12. Jun 2016 10:42 | IP-Adresse ist Registriert

Hallo,

mit "Festlegen" ist ganz allgemein das Angeben der Objekte, die Teil eines IPAM-Zugriffsbereichs sind, gemeint. Z.B. das Hinzufügen oder Entfernen eines DHCP-Adressbereichs zu einem bzw. aus einem IPAM-Zugriffsbereich. Das kann man auch als verwalten, ändern oder konfigurieren von Zugriffsbereichen bezeichnen. Es geht aber nicht darum, zu definieren, welche Rechte eine Rolle hat.

Zugriffsbereiche sind IPAM-Objekte, diese können von IPAM-Administratoren aber nicht von IPAM-DHCP-Administratoren geändert werden, so die Theorie. Laut deinem Screenshot können nun aber auch IPAM-DHCP-Administratoren IPAM-Zugriffsbereiche ändern, indem sie DHCP-Server-Objekte hinzufügen. Das ist schon verwunderlich. Wenn das so ist, dann ist D anstelle von C richtig. Ich werde das morgen auch noch einmal nachstellen.

Gruß
Maik

 

Top 10 Mitwirkender
Beiträge 1,618
Maik Antwort zu Mon, 13. Jun 2016 8:58 | IP-Adresse ist Registriert

Hallo,

ich habe die Aufgabe ebenfalls nachgestellt und bin zu demselben Ergebnis gekommen, das Andreas beschreibt. Inhaber der Rolle IPAM-DHCP-Administratorrolle können zwar keine IPAM-Zugriffsbereiche erstellen, aber den Zugriffsbereich für alle DHCP-Server, DHCP-Bereiche und DHCP-Bereichsgruppierungen festlegen.

Ich habe die richtige Antwort von C auf D korrigiert.

Hier der passende Screenshot aus der deutschsprachigen GUI:

Gruß
Maik

Seite 1 von 1 (8 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online