Con respecto al uso del grupo DnsUpdateProxy, tengo entendido que solo los servidores DHCP deben ser miembros de ese grupo, no el usuario dinámico de actualización de DNS. Se supone que la cuenta de usuario debe agregarse a la configuración del servidor DHCP, no al grupo DnsUpdateProxy.
El grupo DnsUpdateProxy es para clientes DNS. El usuario no es un cliente, es un mecanismo utilizado por el cliente (el servidor DHCP) para realizar actualizaciones dinámicas a DNS cuando solo tiene activadas las actualizaciones seguras. El cliente sigue siendo el servidor DHCP.
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy
Cuando el servidor DHCP está en un DC, además de hacer que el servidor sea miembro del grupo y agregar al usuario a la configuración de DHCP, también debe desactivar OpenACLOnProxyUpdates. Si no lo hace, está agregando una vulnerabilidad, porque la membresía en el grupo DnsUpdateProxy otorga demasiada autoridad sobre los registros DNS.
Algunas escuelas de pensamiento sugieren que DHCP en un DC no debe ser miembro de DnsUpdateProxy, y solo debe tener el usuario de actualización de DNS asignado a DHCP. Eso puede ser cierto para Windows Server anterior, pero para 2012R2 y posteriores, la sensación que tengo de los documentos técnicos es que el servidor aún debe estar en el grupo DnsUpdateProxy, pero debido a que es un DC, los permisos de membresía de ese grupo abren la vulnerabilidad.
Por lo tanto, si tiene DHCP en un DC con la actualización de DNS dinámica segura habilitada, también debe ejecutar este comando en el DC que ejecuta DHCP, por lo que su DNS no permitirá que las actualizaciones "foráneas" cambien los registros propiedad de DHCP:
dnscmd / config / OpenAclOnProxyUpdates 0
En pocas palabras, el grupo DnsUpdateProxy no es para ningún objeto de usuario, solo debe usarse para objetos de servidor DHCP (clientes DHCP) y está destinado principalmente a las "mejores prácticas" de tener su servidor DHCP en un servidor que no sea DC impartir los permisos necesarios para actualizar dinámicamente DNS. Agregar el usuario de actualización segura a ese grupo no sirve para nada.