Как запретить юзеру менять свой IP адрес в доменной AD сети?
 

Как запретить юзеру менять выделенный ему IP адрес в доменной сети с Active Directory? Сервер Windows 2003 Enterprise.

1)отобрать права администратора на локальной машине.
2)раздавать адреса через DHCP
3)написать бумажку за подписью НУ_ОЧЕНЬ_БОЛЬШОГО_ДИРЕКТОРА, что за самовольную смену IP адреса будет:
а) больно
б) очень больно
ц) за цугундер и на кукан
....
4) После очередной попытки сменить адрес ОБЯЗАТЕЛЬНО-ПОКАЗАТЕЛЬНО с большим шумом выполнить все содержимое пункта 3

KomatoZo
1) и 2) совершенно не подходят.
Насчёт остального - не серьёзно. И не по-сисадмински.

:ржать: :ржать: :ржать:
Да... Уж... Молодой чемодан... Вот только не обижайтесь... Вы смешны...
Я тут на SecurExpo большим дядям и тетям готовлюсь рассказывать о НЕОБХОДИМОСТИ четко прописанных политик безопасности, к которым относится и политика присвоения/изменения IP-адресов для построения надежной и безопасной IT-инфраструктуры, а вы мне говорите, что не "по-админски" это.. Звучит, ей-богу, как не "по-пацански". Смешно =)

А насчет того что 1) и 2) не подходит - граничные условия задачи в студию.

З.Ы. А несерьёзно как раз стремление показать, что все задачи можно решить только технически и наплевательское отношение к формальностям. Это взгляд 16тилетнего подростка, не столкнувшегося ни разу с серьёзными проблемами.

KomatoZo
Вопрос стоит о том, как выполнить такую настройку системными средствами Windows 2003 и Active Directory, для чего и было приведено название ОС.
Про человеческие методы рассказывай, пожалуйста, не здесь, а своим дядям и тётям.
Насчёт 1) и 2) - 1) локальные административные права нужны, 2) в сети используется именно статическое распределение адресов.

Не просто серьезно, а очень даже действенно! для начала 100$ за одну смену адреса и все будет в порядке. Я вообще не понимаю, что значит "неприемлемо". Кто тут админ он или ты? Если он - сиди тихо и помалкивай, если ты - то он юзер и должен знать свое юзерское место даже если привелегии локального пользователя ему необходимы для работы: все сетевые изменения только с разрешения админа (а разрешение через магазин ;))

vovik
В текущих условиях человек может обойти ограничения, сменив свой айпи адрес. Если никто не знает, есть ли возможность системными методами привязать юзера к одному и тому же айпи - вопрос снимается. Магазинов не надо, спасибо.

Ну, может так может. Если он "из себя такой царь" (Падал прошлогодний снег), то ему и карты в руки! Только это:
никто не отменял. А действует лучше всяких DHCP.

KomatoZo
Rob
Закончили перепалку, пожалуйста.

Rob
Тебе уже дали правильное решение.
1. Отобрать права локальных админов
(как правило, права локального администратора нужны для того, чтобы пользователи не дергали админов, когда им нужно что-то установить, удалить,... В этом случае достаточно будет дать пользователям права на определенную папку и ветки реестра, где они могут ставить - сносить все, что угодно)
2. Поднять DHCP и раздавать адреса с него.

Поскольку DHCP уже есть, то можно в дополнение поставить хороший управляемый свитч, в котором зафиксировать таблицу и к которому будет иметь доступ только админ домена (в этом случае смена адреса станет бессмысленной).

Способов системно запретить локальному администратору вытворять со своей рабочей станцией все, что он захочет, я не встречал.

Ну пойди другим путём - на свичах привяжи жестко arp-ip. Чего ты в АД упёрся?

вставлю своих 5 копеек в дускусию, у меня имеется лан с 20 компами, раньше каждый выберал себе ИП сам, теперь запущен DHCP сервис раздающий ИП в зависимости от МАК, если человек берёт не свой ИП то он не имеет доступа к интернету и к серверу

А почему бы не запретить конкретно возможность заходить в проперти сетевого окружения через полиси?

Тоже не совсем выход, т.к. если есть локальный админ, поменять МАС и IP не проблема. Скорее всего поможет скрипт проверяющий МАС, IP, имя машины и имя юзверя. Ну а дальше или моментальный логофф или хитрый route add или еще позлее что-нить. Думаю, если выставить логон определенного юзверя лишь на определенные тазики, тоже поможет.

Rob
у вас видимо 10-20 раб. станций, и НИКОГДА НИОДИН пользователь не должен иметь полные права на что-либо, кроме собственных документов (и то с оговоркой, что админ их тоже должен иметь), и если вы не понимаете, чем текущее положение вещей грозит
а) вам как ответственному за тех. состояние,
б) вам или бэкап менеджеру за потерянные документы,
в) вам или бухгалтерии за перерасход трафика, который по факту вычислить будет очень трудно,
г) вам, когда начальство задумается "а чем он управляет?",
и не собраетесь его менять(как менять сказано выше), то сисадминский бог вам в помощь (если он есть), и надеюсь в мире не станет на одного БОФХа больше.


могу еще написать, чем это грозит, уже менее тяжко, но так же геморройно