全部,
开发人员通常需要操作系统的管理员权限,这样他们才能完成他们的任务。
作为管理员,我如何锁定 Windows 上的 DNS 设置,以便只有我可以更改它们?
我不是这个许可方面的专家,因此如果能提供一步一步的教程就更好了。
我没有钱来设置服务器和活动目录...所以这将应用于每台机器。
谢谢。
答案1
我们不要在这个问题上拐弯抹角了。
如果用户拥有“管理员”权限,那么游戏就结束了任何您希望在计算机上强制执行的设置。不您可以使用该机制来阻止“管理员”对计算机进行任何操作。当您允许用户以“管理员”身份运行时,您将放弃您认为您可能对他们正在使用的计算机拥有的所有控制权。案子了结。
控制这些计算机使用哪个 DNS 服务器的唯一方法是配置防火墙,将对 UDP 端口 53 的任何出站请求丢弃到您希望用户使用的 DNS 服务器以外的任何 IP 地址。这样,如果他们更改指定的 DNS 服务器,他们的请求将无处可去,他们要么改回原来的 DNS 服务器,要么生活在没有 DNS 的世界中。
[非常大的肥皂盒]
我希望贵公司没有开发用于转售的产品。
现在是 2009 年。微软一直在说多年所有应用软件都应在非特权用户帐户下正常运行。虽然我理解您的开发工具可能需要“管理员”权限才能正常工作,但由于您的开发人员以“管理员”身份运行,他们开发的软件最终很可能会要求运行该软件的用户也拥有“管理员”权限(因为它是在“管理员”环境中编写的,并且很可能是在“管理员”环境中测试的)。
这让我很难过。每次看到某个软件想要写入“C:\Program Files...”,我都会暗自咒骂,对软件开发社区更加愤怒。每次看到安装文档上写着“用户需要拥有‘管理员’访问权限...”,我都会不由自主地握紧拳头。是的,是的——也许我对此太认真了,但它是我的工作...
我厌倦了处理那些冷漠的公司编写的软件,这些公司认为他们的软件需要特权用户帐户才能运行是可以的。在切实可行的情况下,我建议我的客户不要购买此类软件。当这不可能时,我通常会坐在 Process Monitor 上想办法设置一组最低限度的权限,以使软件在受限用户帐户下运行。当这行不通时,我的客户最终不得不购买额外的 Windows 操作系统许可证,这样我们就可以在虚拟机中合法运行软件,用户可以拥有特权帐户,我可以轻松快速地“回滚”所做的任何更改。
我很遗憾你们没有一个开发经理理解这一点,并禁止开发人员拥有“管理员”权限。我很遗憾你作为系统管理员,必须处理拥有“管理员”权限的用户。我很遗憾我们作为系统管理员社区,没有更好地站出来反对用户/经理,并解释如此大一部分与计算机安全相关的问题(以及相关的费用) 的根本原因与用户拥有超出其真正需要的特权有关。
你根本就不应该问这个问题。坦白说,你不应该也面对同样的麻烦。
我讨厌我花费大量时间制作了无法以标准用户身份运行的劣质软件,却不得不向客户收取不必要的费用。我觉得这像是在浪费钱,我宁愿花时间寻找利用 IT 提高其业务效率和盈利的方法。
[/非常大的肥皂盒]
答案2
管理员与 Unix/Linux 一样root,对机器拥有绝对控制权。程序员则更是如此。如果您设法以某种方式锁定 DNS 设置,则拥有该机器管理员权限的人可以用相同的方式解锁它们。即使他们无法做到这一点,他们仍然可以使用代理服务器(HTTP 和 SOCKS 都支持在代理上解析域)。
答案3
如果您只想为一个机器设置自定义 DNS,则可以使用主机文件。
C:\Windows\System32\drivers\etc\hosts
将您的 DNS 记录放入此文件中,将覆盖外部服务器上的 DNS 检查。