Доброго времени суток! Помогите с 2мя проблемами, пожалуйста!

1. Есть сеть, сервер = xxx.xxx.1.1 , есть машины c xxx.xxx.1.2 по xxx.xxx.1.55.

Я привязываю каждый IP адрес машины с его MAC адресом. IP адреса некоторые не используются, например xxx.xxx.1.35 - пустой.

Возьмем машину xxx.xxx.1.10 с привязанным MAC адресом. Заходим под юзером, меняем IP на xxx.xxx.1.35 и после перезагрузки свободно заходим в домен.

НАДО СДЕЛАТЬ ТАК, ЧТОБЫ КАК РАЗ ПОСЛЕ СМЕНЫ IP НЕЛЬЗЯ БЫЛО ЗАЙТИ В ДОМЕН!!! В ЭТОМ И ВОПРОС, КАК ЭТО СДЕЛАТЬ?



2. Помогите пожалуйста разобраться, как настроить политику домена, чтобы пользователи могли устанавливать определенные программы.
Server 2003!

Заходим под юзером, меняем IP на xxx.xxx.1.35
Юзер не имеет прав настройки сетевых подключений.

Некоторые юзеры являются оп.польщователями или администраторами локально... кроме того есть еще сис.админы и прочие. Так что вопрос очень даже актуален. Нужно чтобы НИКТО не мог зайти в домен после смены IP.
Исключительная область тоже не вариант...

Некоторые юзеры являются оп.польщователями или администраторами локально...
Убрать к чёртовой матери эти привилегии или запретить логиниться локально.

кроме того есть еще сис.админы
Сисадмин априори может всё. :)

и прочие
Не знаю такой группы безопасности. ;)

Молодой человек, не катайте вату. Я задал обстоятельный вопрос, если не можете ответить адекватно вопросу, лучше промолчите. Есть определенные требования для решения задачи, я их привел.

Вход в домен после смены IP адреса должен быть невозможен!

Я привязываю каждый IP адрес машины с его MAC адресом. »
Где? Если на железке типа cisco (или управляемый свитч), то после привязки mac-порт + mac-ip (или сразу ip-порт) Возьмем машину xxx.xxx.1.10 с привязанным MAC адресом. Заходим под юзером, меняем IP на xxx.xxx.1.35 и после перезагрузки » чел. будет сидет со своим ip и ничего "не увидит" (настроить access list).
Для привязки по пользователю можно использовать авторизацию через Internet Authentication Service (RADIUS) + свитчи, поддерживающее такую авторизацию + доп-но можете использовать сертификаты (цель, как я понял, уберечься от чужих пользователей, а они не будут иметь сертификатов - это на случай если есть возможность поменять и mac и ip, но и в таком случае привязка к порту на свитче спасет)

2. Помогите пожалуйста разобраться, как настроить политику домена, чтобы пользователи могли устанавливать определенные программы.
Server 2003! »
Имеется в виду те, которые распространяются по сети? Или которые сами принесли от Васи? Насчет первого надо в групповой политике пользователя в разделе установка программ прописать программу.

Поднял IAS, но тут возникла проблемка! 3COM 2226 свитч не определяется,когда пытаюсь подключиться к нему. Почему так происходит. Сеть работает нормально, а вот к свитчу никак не подцепляюсь.

Молодой человек, не катайте вату.
Вы, видимо, большой специалист в этой области.

Я задал обстоятельный вопрос, если не можете ответить адекватно вопросу, лучше промолчите.
Обстоятельный вопрос, уважаемый знаток русского языка, это вопрос с максимальным количеством информации, а не:
Я привязываю каждый IP адрес машины с его MAC адресом.

nd1034, 3Com Baseline Switch 2226 Plus (http://3com.com/other/pdfs/products/en_US/3com_400912.pdf)
3Com (R) Network Director Version 2.5 ( Service Pack 2) (Product ... (http://www.3com.hu/download/ndreadme_2_5_sp2.txt/ndreadme_2_5_sp2.txt) - п.10
по док. авторизация должна поддерживаться

Про свитч вопрос более не актуален.
Буду разбираться с IAS

Заходим под юзером, меняем IP »
У юзера таких прав нет.
2. Включить в группу "Опытные пользователи" (Power Users)

Все под контролем,товарищи :-) на машине работал Каспер с Асер менеджментом, они все портили, гады.
Остался вопрос, поддержит ли IAS выполнение простого правила, принимать пакеты с порта свитча ЕСЛИ IP тождественнен MAC.

nd1034, да, поддержит, там как душе угодно правила можно задать
пример из лога
User host/user.domain.ru. was granted access.
Fully-Qualified-User-Name = domain.ru/OU/user
NAS-IP-Address = 192.168.xx.xx
NAS-Identifier = <not present>
Client-Friendly-Name = C2960-xx-x-x
Client-IP-Address = 192.168.x.x
Calling-Station-Identifier = AA-DB-xx-xx-xx-xx
NAS-Port-Type = Ethernet
NAS-Port = xxxxx
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = VLAN 80 - user
Authentication-Type = EAP
EAP-Type = Smart Card or other certificate