Как запретить пользователям менять ip
Страницы: 1
Как запретить пользователям менять свой ip
Dremlin None
Это нравится: 0Да / 0Нет
10.03.2006 17:39:11
Недавно столкнулся с такой проблемой. В локалке пользователи постоянно меняют IP адрес. Хотя нужно, чтоб они брали ip только от DHCP.
Вот и вытек вопрос, как запретить им это делать. (Они администраторы на своих компах)
Запись в реестре
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Netw ork
NoNetSetupConfigPage = Dword (1)
непомогла. (ноль реакции после перезагрузки)
юзаються Win XP SP2.
Это нравится: 0Да / 0Нет
10.03.2006 18:46:28
или в GPO «Запретить доступ к свойствам подключений по локальной сети»
Не забудь о netsh.
Dremlin None
Это нравится: 0Да / 0Нет
10.03.2006 19:21:27
В GPO тоже запрещал. Так вот непомогло.
А вот про netsh неслышал
DigitalGhost
Это нравится: 0Да / 0Нет
10.03.2006 21:53:29
а не проще отобрать права админов
SleepWalker
Это нравится: 0Да / 0Нет
11.03.2006 08:54:27
ИМХО если человек админ локальный, мало что можно сделать.
Можно только вот например поменять права на ключи реестра в которых лежат сетевые настройки, но опять же если человек- локальный админ, то скорее всего он сможет вернуть все назад.
Так что лучше например на коммутаторах запретить все ip кроме тех, что выдаются DHCP.
А вообще такие вещи нужно не техническими средствами решать а административными.
Как ограничить доступ по IP адресам
Иногда возникает необходимость ограничить доступ к каналам определенным IP адресам. Или наоборот, разрешать доступ к каналу только определенному списку IP. Эту задачу можно решить с помощью бэкенда, собранного с помощью конструктора бэкендов.
С помощью конфигуратора можно настроить очень гибкие схемы авторизации. На этой странице приведем примеры как заблокировать определенные IP-адреса, или наоборот, пустить мимо системы авторизации. Это может быть полезно для систем мониторинга.
Все правила, описанные далее, могут быть применены к потоку или глобально.
stream example_stream < input fake://fake; on_play auth://blacklist; >Где blacklist — имя одного из настроенных бэкендов. Конечно же, вы можете создать более одного авторизационного правила.
Заблокировать
Вся настройка происходит через /etc/flussonic/flussonic.conf.
auth_backend blacklist < deny ip 1.1.1.1; deny ip 2.2.2.2; deny ip 10.10/16; allow default; >Это правило запрещает просмотр с двух определенных адресов (1.1.1.1, 2.2.2.2) и целой подсети (10.10.0.0/16).
Строка allow default; означает, что по умолчанию нужно всем разрешать просмотр, кроме адресов, перечисленных в deny . Подробнее об опции
Разрешить
auth_backend whitelist < allow ip 192.168.0/24; allow ip 10.10/16; allow ip 8.8.8.8; >Это правило разрешает просмотр только из указанных сетей и конкретного IP-адреса. Остальные соединения будут блокироваться.
auth_backend multi < allow ip 192.168.0/24; backend http://examplehost/stalker_portal/server/api/chk_flussonic_tmp_link.php; >Это правило разрешает просмотр из локальной сети, а остальные обращения через IPTV Middleware.
Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the «Software»), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED «AS IS», WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NON-INFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. —>
Как запретить пользователям менять ip
IMHO.WS > Интернет, Глобальные и Локальные сети > Безопасность > Как запретить юзеру менять свой IP адрес в доменной AD сети?
23.05.2006, 15:28
Как запретить юзеру менять выделенный ему IP адрес в доменной сети с Active Directory? Сервер Windows 2003 Enterprise.
23.05.2006, 16:34
1)отобрать права администратора на локальной машине.
2)раздавать адреса через DHCP
3)написать бумажку за подписью НУ_ОЧЕНЬ_БОЛЬШОГО_ДИРЕКТОРА, что за самовольную смену IP адреса будет:
а) больно
б) очень больно
ц) за цугундер и на кукан
.
4) После очередной попытки сменить адрес ОБЯЗАТЕЛЬНО-ПОКАЗАТЕЛЬНО с большим шумом выполнить все содержимое пункта 3
23.05.2006, 17:35
KomatoZo
1) и 2) совершенно не подходят.
Насчёт остального — не серьёзно. И не по-сисадмински.
23.05.2006, 18:39
:ржать: :ржать: :ржать:
Да. Уж. Молодой чемодан. Вот только не обижайтесь. Вы смешны.
Я тут на SecurExpo большим дядям и тетям готовлюсь рассказывать о НЕОБХОДИМОСТИ четко прописанных политик безопасности, к которым относится и политика присвоения/изменения IP-адресов для построения надежной и безопасной IT-инфраструктуры, а вы мне говорите, что не «по-админски» это.. Звучит, ей-богу, как не «по-пацански». Смешно =)
А насчет того что 1) и 2) не подходит — граничные условия задачи в студию.
З.Ы. А несерьёзно как раз стремление показать, что все задачи можно решить только технически и наплевательское отношение к формальностям. Это взгляд 16тилетнего подростка, не столкнувшегося ни разу с серьёзными проблемами.
23.05.2006, 19:01
KomatoZo
Вопрос стоит о том, как выполнить такую настройку системными средствами Windows 2003 и Active Directory, для чего и было приведено название ОС.
Про человеческие методы рассказывай, пожалуйста, не здесь, а своим дядям и тётям.
Насчёт 1) и 2) — 1) локальные административные права нужны, 2) в сети используется именно статическое распределение адресов.
23.05.2006, 19:07
Rob:
Насчёт остального — не серьёзно. И не по-сисадмински.Не просто серьезно, а очень даже действенно! для начала 100$ за одну смену адреса и все будет в порядке. Я вообще не понимаю, что значит «неприемлемо». Кто тут админ он или ты? Если он — сиди тихо и помалкивай, если ты — то он юзер и должен знать свое юзерское место даже если привелегии локального пользователя ему необходимы для работы: все сетевые изменения только с разрешения админа (а разрешение через магазин ;))
23.05.2006, 19:46
vovik
В текущих условиях человек может обойти ограничения, сменив свой айпи адрес. Если никто не знает, есть ли возможность системными методами привязать юзера к одному и тому же айпи — вопрос снимается. Магазинов не надо, спасибо.
23.05.2006, 20:12
Rob:
В текущих условиях человек может обойти ограничения, сменив свой айпи адресНу, может так может. Если он «из себя такой царь» (Падал прошлогодний снег), то ему и карты в руки! Только это:
vovik:
для начала 100$ за одну смену адресаникто не отменял. А действует лучше всяких DHCP.
23.05.2006, 20:33
KomatoZo
Rob
Закончили перепалку, пожалуйста.
Rob
Тебе уже дали правильное решение.
1. Отобрать права локальных админов
(как правило, права локального администратора нужны для того, чтобы пользователи не дергали админов, когда им нужно что-то установить, удалить. В этом случае достаточно будет дать пользователям права на определенную папку и ветки реестра, где они могут ставить — сносить все, что угодно)
2. Поднять DHCP и раздавать адреса с него.
Поскольку DHCP уже есть, то можно в дополнение поставить хороший управляемый свитч, в котором зафиксировать таблицу и к которому будет иметь доступ только админ домена (в этом случае смена адреса станет бессмысленной).
Способов системно запретить локальному администратору вытворять со своей рабочей станцией все, что он захочет, я не встречал.
24.05.2006, 02:12
Ну пойди другим путём — на свичах привяжи жестко arp-ip. Чего ты в АД упёрся?
24.05.2006, 15:50
вставлю своих 5 копеек в дускусию, у меня имеется лан с 20 компами, раньше каждый выберал себе ИП сам, теперь запущен DHCP сервис раздающий ИП в зависимости от МАК, если человек берёт не свой ИП то он не имеет доступа к интернету и к серверу
24.05.2006, 16:40
А почему бы не запретить конкретно возможность заходить в проперти сетевого окружения через полиси?
31.05.2006, 14:45
вставлю своих 5 копеек в дускусию, у меня имеется лан с 20 компами, раньше каждый выберал себе ИП сам, теперь запущен DHCP сервис раздающий ИП в зависимости от МАК, если человек берёт не свой ИП то он не имеет доступа к интернету и к серверу
Тоже не совсем выход, т.к. если есть локальный админ, поменять МАС и IP не проблема. Скорее всего поможет скрипт проверяющий МАС, IP, имя машины и имя юзверя. Ну а дальше или моментальный логофф или хитрый route add или еще позлее что-нить. Думаю, если выставить логон определенного юзверя лишь на определенные тазики, тоже поможет.
31.05.2006, 15:08
Rob
у вас видимо 10-20 раб. станций, и НИКОГДА НИОДИН пользователь не должен иметь полные права на что-либо, кроме собственных документов (и то с оговоркой, что админ их тоже должен иметь), и если вы не понимаете, чем текущее положение вещей грозит
а) вам как ответственному за тех. состояние,
б) вам или бэкап менеджеру за потерянные документы,
в) вам или бухгалтерии за перерасход трафика, который по факту вычислить будет очень трудно,
г) вам, когда начальство задумается «а чем он управляет?»,
и не собраетесь его менять(как менять сказано выше), то сисадминский бог вам в помощь (если он есть), и надеюсь в мире не станет на одного БОФХа больше.
могу еще написать, чем это грозит, уже менее тяжко, но так же геморройно
Как запретить пользователям менять ip
Сообщения: 25152
Благодарности: 3798
| Конфигурация компьютера |  |
| Процессор: Core™2 Quad Q8300 @ 2.50GHz | |
| Материнская плата: MSI G41M-P33 Combo | |
| Память: PQI DDR2 (PC2-6400) 2×2048 | |
| HDD: SSD OCZ-AGILITY3 — 120GB | |
| Видеокарта: Gigabyte GeForce GTX660 2048Mb | |
| ОС: Windows 10 Pro x64 (11082) |
В который раз и что не получилось? Тип сетевого подключения?
В gpedit.msc: Конфигурация пользователя — Административные шаблоны — Сеть — Сетевые подключения — Запретить доступ к свойствам подключений по локальной сети + Запретить доступ к свойствам компонентов подключений по локальной сети
Сообщения: 4964
Благодарности: 724
| Конфигурация компьютера | |
| Процессор: Intel i5-580M (2,66 ГГц) | |
| Память: CMSA8GX3M2A1333C9 (8 Гб) | |
| HDD: WDS500G2B0A (500 Гб) | |
| Ноутбук/нетбук: Sony VPCEB1S1R (upgrade) | |
| ОС: Windows 10 x64 |
Попробуй посмотри тут: C:\WINDOWS\system32\gpedit.msc Конфигурация пользователя -> Административные шаблоны -> Сеть -> Сетевые поключения
——-
А зачем тебе жужжать, если ты не пчела? По-моему так.
Сообщения: 53036
Благодарности: 15396
| Конфигурация компьютера | |
| Процессор: AMD Ryzen 7 7800X3D | |
| Материнская плата: Gigabyte B650E Aorus Master | |
| Память: Kingston Fury Renegade DDR5-6000 32GB (2×16) | |
| HDD: Samsung SSD 850 PRO 256GB, 980 PRO 1TB | |
| Видеокарта: Gainward GeForce RTX 3080 追风 | |
| Блок питания: be quiet! Straight Power 11 650W | |
| Монитор: ASUS VG248QE 24″ | |
| ОС: Windows 10 Pro x64 | |
| Прочее: корпус Fractal Design Define R4 |
Цитата hhh8484:
| я это пробовал прошли раз но не получилось. |
Там еще параметр «Включить политики сетевых подключений для администраторов» (NC_EnableAdminProhibits). Это если нужно ограничить учетные записи с правами администратора.
Это сообщение посчитали полезным следующие участники:
Сообщения: 25152
Благодарности: 3798
| Конфигурация компьютера | |
| Процессор: Core™2 Quad Q8300 @ 2.50GHz | |
| Материнская плата: MSI G41M-P33 Combo | |
| Память: PQI DDR2 (PC2-6400) 2×2048 | |
| HDD: SSD OCZ-AGILITY3 — 120GB | |
| Видеокарта: Gigabyte GeForce GTX660 2048Mb | |
| ОС: Windows 10 Pro x64 (11082) |
Цитата Petya V4sechkin:
| Там еще параметр » |
да, всегда забываю, что у нас дают права админа пользователю, а потом всячески их стараются урезать
добавил в reg-файл из поста 2
Сообщения: 19
Благодарности: 0
Изображения
Я попробовал обо варианты но не получилось может я что то не так cделал я тут файл прикрепил тут все что я сделал. файл (ГП.jpeg) в групповом политике, а другой (реестр.jpeg) в реестре…
Сообщения: 19
Благодарности: 0
Сообщения: 25152
Благодарности: 3798
| Конфигурация компьютера | |
| Процессор: Core™2 Quad Q8300 @ 2.50GHz | |
| Материнская плата: MSI G41M-P33 Combo | |
| Память: PQI DDR2 (PC2-6400) 2×2048 | |
| HDD: SSD OCZ-AGILITY3 — 120GB | |
| Видеокарта: Gigabyte GeForce GTX660 2048Mb | |
| ОС: Windows 10 Pro x64 (11082) |
Цитата hhh8484:
вот там параметр NC_EnableAdminProhibits должен иметь значение 1
можете просто применить твик реестра restrictlanproperties.reg —
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections] "NC_EnableAdminProhibits"=dword:00000001 ;Включить политики сетевых подключений для администраторов "NC_LanChangeProperties"=dword:00000000 ;Запретить доступ к свойствам компонентов подключений по локальной сети "NC_LanProperties"=dword:00000000 ;Запретить доступ к свойствам подключений по локальной сети