на W2k сервере установлен *DHCP, хочется запретить пользователям менять IP на клиентских местах (например, они могут назначить IP адрес явным образом и выбрать не занятый IP).
Можно ли как-нить жестко связать IP и MAC адрес клиентской машины, чтобы если клиент поменял IP, при авторизации на сервере его отшили? |
Кажется можно в свойствах DHCP посмотри там можно сделать строгую привязку к MAC !
|
Лучше всего не делать таких пользователей админами своих машин. Тогда они ничего не поменяют, как бы им адрес не присваивался - статически или через DHCP.
В DHCP резервирование можно создать и там связать MAC-адрес с IP. Правда я не пробовал проставлять на раб. станции вручную адрес из DHCP-диапазона, не знаю - будет у него доступ в сеть или система выдаст конфликт адресов. Но даже если выдаст конфликт адресов (в чем я сильно сомневаюсь), все равно остается возможность поставить IP не из диапазона DHCP, например диапазон 192.168.10.50-192.168.10.200. Используется маска 255.255.255.0. Тогда пользователь сможет поставить например 192.168.10.49. Чтобы это закрыть можно либо firewall какой-нить настроить на сервере, либо использовать такой диапазон DHCP, который не оставит возможности увидеть сеть, используя IP адрес за его пределами (чтобы большим не делать можно маску нестандартную использовать). Если же учетная запись, под которой работает чел, включена в группу администраторы данной раб. станции, то он по-идее все равно сможет обойти это ограничение. Мак-адрес подменив например. На дорогом активном оборудовании вроде-бы можно ограничить IP для порта, что с др. IP просто не подключишься. |
Цитата:
|
Dmitrich
Смотрите: http://forum.oszone.net/topic.cgi?fo...amp;topic=1210 Там пост Vasketsov'а: "...в свойствах адаптера (там где оборудование) если есть параметр "адрес" - это он и есть, по умолчанию там пусто, то есть, передается физический адрес." Т.е. чел, являясь админом своей машины, пробьет в свойствах адаптера мас=адрес, и система будет подставлять его вместо физического мас-адреса. Я так думаю, что DHCP не различает, что это не физический, а подставной мас-адрес и соответственно привязка к IP не сработает. Повторюсь, имхо правильный путь - не делать пользователей админами своих машин. |
Можно также в систем полиси настроить запрет на смену ипишника и все, и нет ни каких головняков.
А на счет статического МАС адреса я сомневаюсь, DHCP в Win2000Server помоему отличает от физического...:) |
Fronik
Проверю как будет время, отличает или нет. |
Animal
Обязательно сообщи о результатах, желательно по подробнее. Буду очень признателен... |
Привет Всем! Такая же проблема у меня но я решил запретить доступ к свойствам сети думаю так легче! трабла токо втом что как ???:)))не подскажете? полазил во всем регистре пока ничего:(
|
|
Спасибо конечно за адресок только я вот это уже пробовал это не помогает у меня Вынь2000про может там как нить подругому?
|
права у пользователей какие?
если они меняют айпишник значит админы, переведи их в группу "пользователи":up: |
немного не в ту тему ...
На Opennet.ru был предложен такой вариант: arp -f а *в файле /etc/ethers вписать примерно следующее: 192.168.0.1 *00:0С:74:15:00:00 192.168.0.8 *00:00:00:00:00:00 ................... 192.168.0.256 00:00:00:00:00:00 т.е. в файл просто занести все соответствия ip/mac'ам, а все неиспользуемы ip сопоставить с 00:00:00:00:00:00 За работоспособность не отвечаю... [s]Исправлено: Dmitrich, 17:50 30-06-2003[/s] |
Цитата:
:) |
Права у некоторых административные не могу поменять на юзеров так так у нас пользуютсья программами котрые требуют админские права (Например бухгалтерские и т.д.)
самый оптимальный вариант это закрыть доступ через регистр к свойствам сети но вот уже третий день вожусь немогу вынь2000 если у кого то была такая трабла напишите плизз....! |
программами котрые требуют админские права (Например бухгалтерские и т.д.)
быть такого не может.....заходишь под админом и устанавливаешь программы, потом заходишь под юзером (предварительно зделать его не админом а обычным пользователем ) у нас так.......мы под админом ставим софт а потом заходим под user с правами usera и все работает, в том числе бухгалтерские 1С админские прова нужны только для установки проги :biglaugh: |
Нет беда втом что эта прога именно админа и требует у нас не 1С а какойто дешовый софт:(
|
тогда я не знаю
зайди на сайт http://winfaq.com.ru/:up: поищи там, вот в нт4 можно было убирать с рабочего стола сетевое окружение и нетолько ......может и в 2000 есть |
С рабочего стола то можно и в 2000 убрать, только толку от этого не будет, доступ в сеть то останется.
А на счет прог которые требуют админовские права - таких не встречал. Попробуй для ночала папке (в которой эти проги находятся) выставить права полного доступа этим пользователям. Кстати вынь 2000 не отличает статические маки от физических! |
Raper
Цитата:
Цитата:
Цитата:
Добавлено: Fronik Цитата:
|
Цитата:
я в регистре копался но там нету это папки "Network" и куда потом приписывать этот "NoNetSetup" ???? |
Цитата:
|
Создаю не имеет смысла тоже самое...
|
vasketsov
Еслиб ты повнимателнее читал с самого ночала, то понял бы сразу. Посмотри там беседа на счет DHCP-сервера на 2000 Server, защита сети от смена мака... [s]Исправлено: Fronik, 18:13 2-07-2003[/s] |
Fronik
я читал с самого начала, и о чем речь - понял. мне неясно, что ты называешь физическим маком, а что статическим (если уж один статический, то другой, наверное, динамический тогда будет?). Если драйвер сетевой карты не указал карте мак при загрузке, она в качестве его использует свой физический адрес, прошитый у нее. Если указал - тот прошитый мак вообще идет лесом. Так что отличить их нереально (разве что сначала один раз запомнить, и потом все остальное время сравнивать), и если это и можно, то должен существовать патч, закрывающий это дело. |
Вот сегодня задался вопросом - темы ветки.
Единственное что нашел под Винь - неплохая утилита http://l2nt.info/download.htm правда платная и автор привязывает ее к мак адресу вашей сетевухи. Вот бесплатная, но она только мониторит смену адресов - http://www.supasoft.ru/ip-change-monitor Что касается применимости темы шапки. Вот например моя диспозиция - рабочая группа на 50 машинок. Один файловый сервер. Ставить домен и АД в условиях отсуствия 2го сервера стремновато и геморно. Руководство считает что в кризис даже серверы не падают и 2й сервер покупать не хочет. Приходит жутко хитрый товарищ с домашним ноутбуком и начинает менять себе IP-шники. На сервере настроен фаервол который авторизирует по IP, дабы не мучать пользователей вводом пароля перед входом в интернет. Теперь получается, что из за одного хитруна все остальные должны ходить в интернет через пароли. Либо я должен поднимать АД ???? :( |
Цитата:
|
Пока мониторю смену IP адресов по МАКам.
+Нашел лазейку этого умника- он себе учетку создал на чужом компе и лазил по инету через удаленный рабочий стол....ппц. |
Цитата:
2. Если не удаётся отследить, можно запускать конкретно такие программы от имени администратора. Существует возможность организовать автоматический ввод администраторского пароля так, чтобы сам пользователь его не знал и не мог использовать для запуска других программ. К примеру, запуск нужной программы можно производить через скрипт, на файл которого у пользователя есть разрешение на запуск, но нет прав на чтение :) А закрывать ВСЕ дыры, которые может использовать "администратор" - бесполезно :( |
Raper, стандартными средствами так: пуск-выполнить-gpedit.msc- конфигурация пользователя- административные шаблоны- сеть- сетевые подключения - параметр "запретить доступ к свойствам компонентов подключений по локальной сети" делаете "включен", затем открываете командную строку, выполняете "gpupdate".
|
Способ __sa__nya почему-то не помогает. все так-же доступно и меняется.
|
Время: 09:33. |
Время: 09:33.
© OSzone.net 2001-