Все,
Разработчикам обычно требуются права администратора ОС, чтобы они могли выполнять свою задачу.
Как мне, как администратору, заблокировать настройки DNS в Windows, чтобы они не могли быть изменены только мной?
Я не эксперт в этом вопросе разрешений, поэтому пошаговое руководство будет полезно.
У меня нет денег на настройку серверов и прочее Active Directory ... так что это будет применяться к каждой машине.
Спасибо.
Давайте не будем ходить вокруг да около по этому поводу.
Если у пользователя есть права «Администратор», то для любой параметр, который вы хотите применить на самих компьютерах. Там есть Нет механизм, который вы можете использовать, чтобы запретить «Администратору» делать с компьютером все, что они хотят. Когда вы позволяете пользователям работать от имени «Администратора», вы отказываетесь от всякого контроля, который, по вашему мнению, у вас может быть на компьютере, который они используют таким образом. Дело закрыто.
Единственный способ, которым вы сможете контролировать, какой DNS-сервер используют эти компьютеры, - это настроить ваш брандмауэр на отбрасывание любых исходящих запросов на UDP-порт 53 на любой IP-адрес, отличный от DNS-серверов, которые вы хотите использовать для пользователей. Затем, если они изменят указанные DNS-серверы, их запросы никуда не денутся, и они либо вернут их обратно, либо будут жить в мире без DNS.
[ОЧЕНЬ БОЛЬШОЙ МЫЛО]
Надеюсь, ваша компания не разрабатывает продукт для перепродажи.
На дворе 2009 год. Microsoft говорила ГОДАМИ что все прикладное программное обеспечение должно работать должным образом с учетными записями непривилегированных пользователей. Хотя я понимаю, что вашим инструментам разработки могут потребоваться права «Администратор» для правильной работы, весьма вероятно, что из-за того, что ваши разработчики работают как «Администраторы», программное обеспечение, которое они разрабатывают, в конечном итоге потребует, чтобы пользователь, который его запускает, также имел Права администратора (потому что он был написан и, очень вероятно, протестирован в среде «Администратор»).
Это меня огорчает. Каждый раз, когда я вижу часть программного обеспечения, которая хочет записать в "C: \ Program Files ...", я молча ругаюсь и немного больше злюсь на сообщество разработчиков программного обеспечения. Каждый раз, когда я вижу установочный документ, в котором говорится: «Пользователи должны иметь доступ« Администратор »...», я чувствую, что мои руки непроизвольно сжимаются в кулаки. Да, да ... может я отношусь к этому слишком серьезно, но это является моя работа...
Я чертовски устал от необходимости иметь дело с программным обеспечением, написанным равнодушными компаниями, которые считают, что их программное обеспечение может требовать для работы учетных записей привилегированных пользователей. В каждом случае, когда это целесообразно, я рекомендую своим клиентам не покупать такое программное обеспечение. Когда это невозможно, я обычно сижу с Process Monitor, пытаясь выяснить, как установить минимальный набор разрешений, чтобы программа работала с ограниченной учетной записью. Когда это не сработает, мои клиенты должны в конечном итоге приобрести дополнительные лицензии на ОС Windows, чтобы мы могли законно запускать программное обеспечение на виртуальной машине, где у пользователя может быть привилегированная учетная запись, и я могу «откатить» любые внесенные изменения. легко и быстро.
Мне очень жаль, что у вас нет менеджера по развитию, который понимает это и запрещает разработчикам иметь права «Администратора». Мне очень жаль, что вам, как системному администратору, приходится иметь дело с пользователями, имеющими права «Администратора». Мне стыдно, что мы, как сообщество системных администраторов, не справляемся лучше, чтобы противостоять пользователям / менеджерам и объяснять, что такая большая часть проблем, связанных с компьютерной безопасностью (и связанных с ними расход) имеют основные причины, связанные с тем, что пользователи имеют привилегии, превышающие их истинные потребности.
Вы даже не должны задавать этот вопрос. Честно говоря, это неправильно, что тебе тоже приходится иметь дело с этим дерьмом.
я презирать необходимость без надобности выставлять счета моим клиентам за то время, которое я трачу на создание грубого программного обеспечения, которое не будет работать как стандартный пользователь, работающий «из коробки», работает должным образом. Мне это кажется грязными деньгами, и мне пора лучше потратить на поиск способов использования ИТ, чтобы сделать свой бизнес более продуктивным и прибыльным.
[/ ОЧЕНЬ БОЛЬШОЙ МЫЛО]
Администраторы, как и root
в Unix / Linux иметь абсолютную власть над машиной. Программисты - даже больше. Если вам удастся каким-то образом заблокировать настройки DNS, кто-то, у кого есть права администратора на этой машине, сможет разблокировать их таким же образом. Даже если они не могут этого сделать, они все равно могут, например, использовать прокси-сервер (и HTTP, и SOCKS поддерживают разрешение доменов на прокси).
Если вы хотите настроить Custom DNS только для одного компьютера, вы можете использовать файл Host.
C: \ Windows \ System32 \ drivers \ etc \ hosts
Поместите свою DNS-запись в этот файл, это отменит проверку DNS на внешнем сервере.