[QRS]

SanyaJoker, предполагаю, что у Вас используется интегрированные в AD зоны.

Все зависит от того, как выполняется обновление А-записей: самостоятельно ОС пользователя или через DHCP-сервер.

Если самостоятельно, то проблем не должно быть... т.к. для обновления записи зоны используется одна и та же учетная запись.
Вероятно, у Вас DHCP обновляет записи зоны... в этом случае в параметрах DHCP-сервера можно указать под какой учетной записью он выполняет обновления зоны.

С точки зрения безопасности, не хорошо давать права поддоменам править любые А-записи в основном домене, но можно поступить так:
- если риск нарушения безопасности неважен - все DHCP работают под одной "крутой" учеткой, которая может создавать и править А-записи в DNS-зонах (права настроить можно на вкладке Security зоны);
- первый сценарий неприемлем... в этом случае на конкретные А-записи (те кто уезжает) в DNS-зоне основного домена предоставьте права изменения для учетной записи, под которой DHCP будет выполнять регистрацию.
- третий вариант - предоставить возможность самим ОС обновлять DNS-записи... вариант плох в случае если у Вас есть ленивые администраторы, а aging & scavenging на настроены.

Второй и третий вариант предпочтительнее с т.з. безопасности... наверное Вы дял безопасности домены и поддомены создавали?!!