[Raper]

Цитата:

Можно также в систем полиси настроить запрет на смену ипишника.....

Fronik мне как раз это и нужно, но как это зделать?

я в регистре копался но там нету это папки "Network" и куда потом приписывать этот "NoNetSetup" ????

[vasketsov]

Цитата:

но там нету это папки "Network"

Нет - надо создать.

[Raper]

Создаю не имеет смысла тоже самое...

[Fronik]

vasketsov
Еслиб ты повнимателнее читал с самого ночала, то понял бы сразу.

Посмотри там беседа на счет DHCP-сервера на 2000 Server, защита сети от смена мака...

[s]Исправлено: Fronik, 18:13 2-07-2003[/s]

[vasketsov]

Fronik
я читал с самого начала, и о чем речь - понял.

мне неясно, что ты называешь физическим маком, а что статическим (если уж один статический, то другой, наверное, динамический тогда будет?).

Если драйвер сетевой карты не указал карте мак при загрузке, она в качестве его использует свой физический адрес, прошитый у нее. Если указал - тот прошитый мак вообще идет лесом. Так что отличить их нереально (разве что сначала один раз запомнить, и потом все остальное время сравнивать), и если это и можно, то должен существовать патч, закрывающий это дело.

[volk1234]

Вот сегодня задался вопросом - темы ветки.
Единственное что нашел под Винь - неплохая утилита http://l2nt.info/download.htm правда платная
и автор привязывает ее к мак адресу вашей сетевухи.
Вот бесплатная, но она только мониторит смену адресов - http://www.supasoft.ru/ip-change-monitor

Что касается применимости темы шапки.
Вот например моя диспозиция - рабочая группа на 50 машинок. Один файловый сервер. Ставить домен и АД в условиях отсуствия 2го сервера
стремновато и геморно. Руководство считает что в кризис даже серверы не падают и 2й сервер покупать не хочет.
Приходит жутко хитрый товарищ с домашним ноутбуком и начинает менять себе IP-шники. На сервере настроен фаервол который авторизирует по IP, дабы не мучать пользователей вводом пароля перед входом в интернет. Теперь получается, что из за одного хитруна
все остальные должны ходить в интернет через пароли. Либо я должен поднимать АД ????

[Angry Demon]

Цитата volk1234:

Теперь получается, что из за одного хитруна все остальные должны ходить в интернет через пароли. Либо я должен поднимать АД ????

У меня подобная проблема выхода в Интернет решена так: TMeter на шлюзе + TMeter Service Monitor в качестве агента авторизации на каждом компе. Хитро@#$ые идут лесом, не имея агента авторизации на своём буке, а если поимеют, то не узнают учётных данных.

[volk1234]

Пока мониторю смену IP адресов по МАКам.
+Нашел лазейку этого умника- он себе учетку создал на чужом компе и лазил по инету через удаленный рабочий стол....ппц.

[El Scorpio]

Цитата Raper:

Нет беда втом что эта прога именно админа и требует у нас не 1С а какойто дешовый софт »

1. Такой дешёвый софт обычно пишется такими же дешёвыми программистами, которые непонятно зачем создают "временные" файлы в корне диска c: или пишут не в те ключи реестра. Всё это отслеживается через Process monitor и, где надо, разрешается простому пользователю. Конечно же, это долго, муторно и не всегда удаётся отследить ВСЕ глюки программиста.

2. Если не удаётся отследить, можно запускать конкретно такие программы от имени администратора. Существует возможность организовать автоматический ввод администраторского пароля так, чтобы сам пользователь его не знал и не мог использовать для запуска других программ. К примеру, запуск нужной программы можно производить через скрипт, на файл которого у пользователя есть разрешение на запуск, но нет прав на чтение

А закрывать ВСЕ дыры, которые может использовать "администратор" - бесполезно

[__sa__nya]

Raper, стандартными средствами так: пуск-выполнить-gpedit.msc- конфигурация пользователя- административные шаблоны- сеть- сетевые подключения - параметр "запретить доступ к свойствам компонентов подключений по локальной сети" делаете "включен", затем открываете командную строку, выполняете "gpupdate".