Какие минимальные разрешения необходимы для управления политиками DNS в Server 2016?

Я внедряю политики DNS, пишу сценарии PowerShell для определенных задач и, конечно, не хочу планировать эти задачи как администраторы домена; Я хочу использовать учетную запись с наименьшими привилегиями.

Дело в том, что я не могу понять, что нужно и где. AD включает в себя DnsAdmins группа, но этого недостаточно.

Компоненты политики DNS

По сути, в политике DNS есть 3 новых элемента:

• Зоны Области
• Клиентские подсети
• полисы

Области зоны являются частью самой зоны, поэтому в зоне, интегрированной с AD, они реплицируются с зоной.

Но клиентские подсети и политики не хранятся в AD, поэтому они не реплицируются, и, например, нет раздела каталога, где вы могли бы проверить или установить разрешения.

Пример задачи

Попытка создать запись клиентской подсети, которая прекрасно работает с учетной записью администратора домена, приводит к загадочной ошибке при проверке внутренних деталей исключений.

Это дает мне ошибку WIN32 1011:

The configuration registry key could not be opened.

Поиск этой ошибки довольно бесполезен, и он никогда не говорит, какой это раздел реестра.

Это с учетной записью, которая является обычным пользователем домена, но является членом DnsAdmins и не имеет никаких других особых привилегий.

Эта учетная запись может читать подсеть DNS-клиента просто отлично. Но добавить один не удается.

Для сравнения, пользователь домена, который не является членом DnsAdmins, не может прочитать запись подсети клиента (разрешение отклонено).

Код

# Read a Client Subnet
Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'

# Add a Client Subnet
Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry'

Ввиду отсутствия какой-либо документации, я не знаю, как правильно делегировать разрешения для этого.