Есть ли способ запретить пользователям статически устанавливать IP-адрес на своих машинах?
У нас есть много серверов со статическими IP-адресами, а также DHCP-сервер. Я боюсь разрешить пользователям устанавливать статический IP-адрес на своих машинах, и в конечном итоге они по ошибке получат IP-адрес сервера.
Я знаю, что мы могли бы создать правило Active Directory блокировать изменения в сетевых интерфейсах или создавать логины без прав администратора, но все эти решения можно обойти. Мне нужно какое-то правило сервера, к которому имеет доступ только наш сетевой администратор.
Обходной путь: поместите пользователей и серверы в отдельные подсети. Быстрый VLAN и смена маршрутизатора должна заставить его работать. Тогда ваши пользователи не смогут принять IP-адрес сервера, потому что они используют «неправильное» физическое соединение, чтобы иметь возможность это сделать.
Вы можете делегировать только «администраторские» права, необходимые этим пользователям (создать новую группу AD и использовать групповую политику, например, чтобы позволить им устанавливать программное обеспечение, но не изменять параметры сети). Это, конечно, зависит от того, какие права администратора им «нужны» для того, чтобы не быть глупыми и требовать, чтобы они были членами Administrators группа ...
Это решение также имеет то преимущество, что Принцип наименьших привилегий - Из того, что я могу почерпнуть из вашего вопроса и ваших комментариев, вы должны работать над тем, чтобы применить это в своей организации, поскольку ваши разработчики, похоже, грубо относятся к разумной политике и стабильности среды.
Изменение сетевых настроек сегодня проблема. Завтра Проблема будет в другом, что невежественный пользователь сломает, злоупотребляя своими правами администратора. Как указал Сэм в комментариях, вам действительно нужно разобраться с основной проблемой (ненадежным пользователям предоставляются права администратора), чтобы сохранить контроль над своей средой.
Рафаэль, я бы порекомендовал двоякий подход к этой проблеме.
Как заявил Крис С., определенно стоит разместить ваших пользователей и ваши серверы в разных подсетях. Вы также можете поместить сетевые принтеры со статическим IP в эту подсеть сервера или в их собственную подсеть. Это небольшое усилие - большая награда в области безопасности, организации и управления.
Во-вторых, я прошу прощения за повторное использование прав локального администратора, но я верю, что есть решение, которое подойдет вам. В Набор средств обеспечения совместимости приложений Microsoft разработан для решения такого рода проблем и принес впечатляющие улучшения для клиентов Windows 7. Вы уже пробовали? Короче говоря, он определяет, какие разрешения нужны вашему приложению (будь то права администратора или ограниченные ключи реестра), а затем создает «прокладку», чтобы приложение работало при запуске под ограниченной учетной записью пользователя. При запуске от имени ограниченного пользователя их оболочка увеличивает права для этого конкретного приложения, а не для всего сеанса пользователя. Это позволит вам удалить эти надоедливые административные привилегии и, таким образом, избежать проблем со статикой / DHCP.
Попробуйте и удачи!