Concernant l'utilisation du groupe DnsUpdateProxy, je crois comprendre que seuls les serveurs DHCP doivent être membres de ce groupe, pas l'utilisateur de mise à jour DNS dynamique. Le compte d'utilisateur est censé être ajouté à la configuration du serveur DHCP, pas au groupe DnsUpdateProxy.
Le groupe DnsUpdateProxy est destiné aux clients DNS. L'utilisateur n'est pas un client, c'est un mécanisme utilisé par le client (le serveur DHCP) pour effectuer des mises à jour dynamiques du DNS lorsque les mises à jour sécurisées sont uniquement activées. Le client reste le serveur DHCP.
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy
Lorsque le serveur DHCP est sur un contrôleur de domaine, en plus de rendre le serveur membre du groupe et d'ajouter l'utilisateur à la configuration DHCP, vous devez également désactiver OpenACLOnProxyUpdates. Si vous ne le faites pas, vous ajoutez une vulnérabilité, car l'appartenance au groupe DnsUpdateProxy donne trop d'autorité sur les enregistrements DNS.
Certaines écoles de pensée suggèrent que DHCP sur un contrôleur de domaine ne devrait pas être membre de DnsUpdateProxy et que seul l'utilisateur de mise à jour DNS doit être affecté à DHCP. Cela peut être vrai pour les anciens Windows Server mais pour 2012R2 et versions ultérieures, le sentiment que j'ai des documents techniques est que le serveur doit toujours être dans le groupe DnsUpdateProxy, mais en raison d'être un DC, les autorisations d'appartenance à ce groupe ouvrent la vulnérabilité.
Donc, si vous avez DHCP sur un contrôleur de domaine avec une mise à jour DNS dynamique sécurisée activée, vous devez également exécuter cette commande sur le contrôleur de domaine qui exécute DHCP, afin que son DNS n'autorise pas les mises à jour "étrangères" à modifier les enregistrements appartenant à DHCP:
dnscmd / config / OpenAclOnProxyUpdates 0
En résumé - le groupe DnsUpdateProxy n'est pas destiné à un objet utilisateur - il ne doit être utilisé que pour les objets serveur DHCP (clients DHCP) et est principalement destiné aux "meilleures pratiques" consistant à avoir votre serveur DHCP sur un serveur non DC, pour donner les autorisations nécessaires pour mettre à jour dynamiquement DNS. L'ajout de l'utilisateur de mise à jour sécurisée à ce groupe ne sert à rien.