如何允许受限用户更改 TCP/IP 设置,同时严格保持最小特权原则?

如何允许受限用户更改 TCP/IP 设置,同时严格保持最小特权原则?

在 Windows XP 或 Windows Server 2003 中:

我有一台笔记本电脑,上面装有用于系统网络漏洞扫描的软件。之所以把它放在笔记本电脑上而不是台式机或服务器上,是为了检查通常独立于网络运行的系统,或位于远程隔离网络上的系统。

由于这台笔记本电脑的主要用途是在网络之间移动,因此系统的所有用户都需要访问权限才能更改 TCP/IP 配置。在我们部门内,这不是问题。无论如何,出于维护目的,我们都是该系统的管理员。

但是,我们计划不时将该系统借给其他部门或组织。显然,如果其他团体不需要,我们不希望他们拥有对系统的完全权限。据我所知,他们唯一需要的管理员权限是更改 IP 地址、子网掩码、网关和 DNS 服务器。

如何为受限用户实现此目的,而不授予他们更高级别的更多权限?

答案1

我目前没有机器来测试受限用户是否可以双击预配置的脚本。您可以创建一些脚本并将它们添加到所有用户的桌面(这样每个人都可以看到它们),然后对每个不同的网络使用 netsh 命令。

我假设您必须允许他们手动进入而不是通过 dhcp?

这个想法当然意味着您对这些不同网络的网络设置有一定了解。

例子:

netsh int ip set dns name=”Local Area Connection” source=static addr=192.168.1.1

netshint ip set address name=”Local Area Connection” source=dhcp

编辑后添加:

你有没有网络配置运营商集团? 使本地用户成为该组的一部分。

相关内容