有没有什么办法可以不允许用户在他们的机器上静态设置 IP 地址?
我们有很多服务器都有静态 IP 地址,还有一个 DHCP 服务器。我担心允许用户在他们的机器上设置静态 IP 地址,最终他们会错误地获得服务器 IP 地址。
我知道我们可以制定一个规则活动目录阻止网络接口上的更改,或者创建没有管理权限的登录名,但所有这些解决方案都可以绕过。我想要一些只有我们的网络管理员才能访问的服务器规则。
- 我们的 DHCP 服务器是 Ubuntu
- 我们的台式机基于 Windows 7
- 我们的防火墙是 Ubuntu + iptables
- 活动目录
答案1
解决方法:将用户和服务器放在不同的子网中。快速虚拟局域网并且路由器更改应该可以使其运行。然后您的用户无法获取服务器的 IP 地址,因为他们处于“错误的”物理连接上,无法这样做。
答案2
您可以仅委派这些用户所需的“管理员”权限(创建一个新的 AD 组并使用组策略(例如)允许他们安装软件,但不修改网络设置)。这当然取决于他们“需要”管理员权限,因为他们不会愚蠢地要求他们成为该Administrators组的成员……
该解决方案还具有强制执行最小特权原则- 从您的问题和评论中我了解到的情况来看,这是您应该努力在整个组织中应用的事情,因为您的开发人员似乎粗暴地践踏了理智的政策和环境稳定性。
更改网络设置是今天的问题。明天的问题可能是某个无知的用户滥用管理员权限而造成的其他问题。正如 Sam 在评论中指出的那样,您确实需要解决根本问题(不可信的用户被授予管理员权限),以便控制您的环境。
答案3
拉斐尔,我建议采取双管齐下的方法来解决这个问题。
正如 Chris S. 所说,将用户和服务器放在不同的子网中绝对值得。您还可以将静态 IP 网络打印机放在该服务器子网中或它们自己的子网中。这只需付出一点努力,就能在安全、组织和管理方面获得巨大回报。
其次,我很抱歉再次提起本地管理员权限,但我相信有一个解决方案可以为你提供帮助。Microsoft 应用程序兼容性工具包是为解决此类问题而设计的,它为 Windows 7 客户端带来了一些令人印象深刻的改进。您尝试过了吗?简而言之,它的作用是检测您的应用程序需要哪些权限(无论是管理员权限还是受限制的注册表项),然后创建一个“填充程序”以使应用程序在受限用户帐户下运行时正常工作。以受限用户身份运行时,该填充程序会提升该特定应用程序的权限,而不是整个用户会话。这样您就可以删除那些令人讨厌的管理权限,从而避免您的静态/DHCP 问题。
尝试一下,祝你好运!