на W2k сервере установлен *DHCP, хочется запретить пользователям менять IP на клиентских местах (например, они могут назначить IP адрес явным образом и выбрать не занятый IP).
Можно ли как-нить жестко связать IP и MAC адрес клиентской машины, чтобы если клиент поменял IP, при авторизации на сервере его отшили?

Кажется можно в свойствах DHCP посмотри там можно сделать строгую привязку к MAC !

Лучше всего не делать таких пользователей админами своих машин. Тогда они ничего не поменяют, как бы им адрес не присваивался - статически или через DHCP.

В DHCP резервирование можно создать и там связать MAC-адрес с IP. Правда я не пробовал проставлять на раб. станции вручную адрес из DHCP-диапазона, не знаю - будет у него доступ в сеть или система выдаст конфликт адресов.
Но даже если выдаст конфликт адресов (в чем я сильно сомневаюсь), все равно остается возможность поставить IP не из диапазона DHCP, например диапазон 192.168.10.50-192.168.10.200. Используется маска 255.255.255.0. Тогда пользователь сможет поставить например 192.168.10.49. Чтобы это закрыть можно либо firewall какой-нить настроить на сервере, либо использовать такой диапазон DHCP, который не оставит возможности увидеть сеть, используя IP адрес за его пределами (чтобы большим не делать можно маску нестандартную использовать).

Если же учетная запись, под которой работает чел, включена в группу администраторы данной раб. станции, то он по-идее все равно сможет обойти это ограничение. Мак-адрес подменив например.

На дорогом активном оборудовании вроде-бы можно ограничить IP для порта, что с др. IP просто не подключишься.

... Мак-адрес подменив например.
Это интересно как??? Если он привяжет IP к MACу сетевухи, то человек пойдёт лосом при попытке указания не того IP.

Dmitrich
Смотрите:
http://forum.oszone.net/topic.cgi?forum=3&topic=1210
Там пост Vasketsov'а:
"...в свойствах адаптера (там где оборудование) если есть параметр "адрес" - это он и есть, по умолчанию там пусто, то есть, передается физический адрес."
Т.е. чел, являясь админом своей машины, пробьет в свойствах адаптера мас=адрес, и система будет подставлять его вместо физического мас-адреса. Я так думаю, что DHCP не различает, что это не физический, а подставной мас-адрес и соответственно привязка к IP не сработает.

Повторюсь, имхо правильный путь - не делать пользователей админами своих машин.

Можно также в систем полиси настроить запрет на смену ипишника и все, и нет ни каких головняков.
А на счет статического МАС адреса я сомневаюсь, DHCP в Win2000Server помоему отличает от физического...:)

Fronik
Проверю как будет время, отличает или нет.

Animal
Обязательно сообщи о результатах, желательно по подробнее. Буду очень признателен...

Привет Всем! Такая же проблема у меня но я решил запретить доступ к свойствам сети думаю так легче! трабла токо втом что как ???:)))не подскажете? полазил во всем  регистре пока ничего:(

http://www.winguides.com/registry/display.php/174/

Спасибо конечно за адресок только я вот это уже пробовал это не помогает у меня Вынь2000про может там как нить подругому?

права у пользователей какие?
если они меняют айпишник значит админы, переведи их в группу "пользователи":up:

немного не в ту тему ...

На Opennet.ru
был предложен такой вариант:
arp -f
а *в файле /etc/ethers
вписать примерно следующее:

192.168.0.1 *00:0С:74:15:00:00

192.168.0.8 *00:00:00:00:00:00
...................
192.168.0.256 00:00:00:00:00:00

т.е. в файл просто занести все соответствия ip/mac'ам,
а все неиспользуемы ip сопоставить с 00:00:00:00:00:00

За работоспособность не отвечаю...

Исправлено: Dmitrich, 17:50 30-06-2003

192.168.0.256 00:00:00:00:00:00
Гы
:)

Права у некоторых административные не могу поменять на юзеров так так у нас пользуютсья  программами котрые требуют админские права (Например бухгалтерские и т.д.)
самый оптимальный вариант это закрыть доступ через регистр к свойствам сети но вот уже третий день вожусь немогу вынь2000 если у кого то была такая трабла напишите плизз....!

программами котрые требуют админские права (Например бухгалтерские и т.д.)

быть такого не может.....заходишь под админом и устанавливаешь программы, потом заходишь под юзером (предварительно зделать его не админом а обычным пользователем )
у нас так.......мы под админом ставим софт а потом заходим под user с правами usera и все работает, в том числе бухгалтерские 1С


админские прова нужны только для установки проги
:biglaugh:

Нет беда втом что эта прога именно админа и требует у нас не 1С а какойто дешовый софт:(

тогда я не знаю
зайди на сайт http://winfaq.com.ru/:up:
поищи там, вот в нт4 можно было убирать с рабочего стола сетевое окружение и нетолько ......может и в 2000 есть

С рабочего стола то можно и в 2000 убрать, только толку от этого не будет, доступ в сеть то останется.
А на счет прог которые требуют админовские права - таких не встречал. Попробуй для ночала папке (в которой эти проги находятся) выставить права полного доступа этим пользователям.


Кстати вынь 2000 не отличает статические маки от физических!

Raper
программами котрые требуют админские права
Обсуждалось, поиск + regmon (с sysinternals.com) - править права в реестре.

это закрыть доступ через регистр к свойствам се
registry.oszone.net

самый оптимальный вариант это
Только для чайников.

Добавлено:

Fronik
Кстати вынь 2000 не отличает статические маки от физических!
Объясни, чего ты имеешь в виду.