Distriggers gli indirizzi IP statici nei computer desktop

C'è un modo per non permettere agli utenti di impostare staticamente un indirizzo IP sulle loro macchine?

Abbiamo molti server con indirizzi IP statici e anche un server DHCP. Temo di permettere agli utenti di impostare un indirizzo IP statico sulle loro macchine e alla fine get un indirizzo IP del server per errore.

So che possiamo creare una regola su Active Directory che blocca le modifiche sulle interfacce di networking o crea gli accessi senza diritti amministrativi, ma tutte queste soluzioni possono essere ignorate. Voglio una regola del server che solo l'amministratore di networking ha accesso.

  • Il nostro server DHCP è Ubuntu
  • Le nostre macchine desktop sono basate su Windows 7
  • Il nostro firewall è Ubuntu + iptables
  • Active Directory

  • Come duplicare il traffico TCP a uno o più server remoti per scopi di benchmarking?
  • Come escludere lan dalla routing
  • UFW / IPTables: come consentire l'accesso autenticato di git con github
  • tabelle iptables - fissaggio di un errore di scrittura nella gestione
  • iptables destinazione NAT da una gamma all'altra
  • Ridisegna il traffico a IP diversi utilizzando iptables
  • come accettare solo "subnet" specifiche usando iptables?
  • Perché iptables non blocca un indirizzo IP? (Versione LB / proxy)
  • 3 Solutions collect form web for “Distriggers gli indirizzi IP statici nei computer desktop”

    Soluzione: mettere gli utenti ei tuoi server in sottoreti separati. Una rapida modifica del VLAN e del router dovrebbe essere in esecuzione. Poi i tuoi utenti non hanno potuto prendere l'indirizzo IP di un server perché sono sulla connessione fisica "sbagliata" per essere in grado di farlo.

    Potresti debind solo i privilegi di "amministratore" necessari a questi utenti (creare un nuovo gruppo di annunci e utilizzare i criteri di gruppo per (ad esempio) consentire loro di installare il software ma non modificare le impostazioni di networking). Ciò è ovviamente contingente su ciò che hanno "bisogno" dei diritti amministrativi per non essere stupidi e richiedendo che siano membri del gruppo Administrators

    Questa soluzione ha anche il vantaggio di far rispettare il principio del minimo privilegio – Da ciò che posso raccogliere dalla tua domanda e dai tuoi commenti, questo è qualcosa che dovresti lavorare per applicare in tutta la tua organizzazione, visto che i tuoi sviluppatori sembrano funzionare in modo corretto per una politica e un ambiente sani stabilità.

    La modifica delle impostazioni di networking è il problema di oggi . Il problema di domani sarà qualcos'altro che un'interface utente scoraggiante abuserà dei diritti di amministratore. Come Sam ha sottolineato nei commenti che è veramente necessario affrontare il problema sottostante (gli utenti non attendibili sono dotati di diritti di amministratore) per mantenere il controllo del proprio ambiente.

    Rafael, vorrei raccomandare un approccio a due punti a questo problema.

    Come ha affermato Chris S., sarebbe sicuramente la pena mettere gli utenti ei tuoi server in sottoreti separati. È inoltre ansible inserire printingnti statiche di networking IP in quella substring del server o nella propria substring. È un piccolo sforzo con una grande ricompensa in materia di sicurezza, organizzazione e gestione.

    In secondo luogo, mi scuso per aver ripreso i privilegi di amministratore locale, ma credo che ci sia una soluzione che funziona per te. Il Microsoft Application Compatibility Toolkit è stato progettato per questo tipo di problema e ha portto alcuni miglioramenti impressionanti per i client di Windows 7. Avete provato ancora? In breve, ciò che sta facendo è individuare le autorizzazioni necessarie all'applicazione (siano esse diritti di amministratore o chiavi di registro limitate) e quindi creare un "shim" per fare funzionare l'applicazione quando si esegue sotto un account utente limitato. Quando viene eseguito come utente limitato, loro shim elevano i diritti per quell'applicazione specifica e non l'intera session utente. Ciò allora ti libera di rimuovere quei privilegi amministrativi fastidiosi e quindi evitare il tuo problema statico / DHCP.

    Provalo, e buona fortuna!

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.