Забороняйте адміністративним користувачам призначати дублюючі статичні ІС на своїх робочих станціях


13

Як я можу запобігти користувачеві, який є адміністратором на своїй локальній машині, вручну призначити IP своєму мережевому адаптеру, який використовується на сервері? Деякі користувачі це зробили, і це спричинило повторювані проблеми з ІР, які взяли вузли в кластерах в моїй організації.


1
Що ви використовуєте для DHCP? Windows? Linux? Щось ще? Ви хочете створити пул для DHCP та виключити IP-адреси, які ви використовуєте для своїх серверів.
colealtdelete

Ваше запитання було трохи незрозумілим, можливо, тому, що англійська мова не є вашою першою мовою? Я відредагував це, щоб зробити його легше зрозуміти.
MDMarra

4
@mdcp Ні в якому разі. Не, якщо користувачі місцеві адміністратори. І ні, якщо машини навіть не в домені - якщо я приходжу до вашого офісу зі своїм власним ноутбуком і підключаюсь до вже використовуваного IP-адреси, а ви не робите щось на Layer-2, щоб запобігти пошкодженню (наприклад, 802.1x, NAC і т. Д.), Тоді я просто вибив щось із мережі.
mfinni

2
Мені б дуже хотілося знати - чому люди навіть роблять це?
Річард Терретт

1
Якщо ваші користувачі встановлюють фіксовану IP-адресу на своїх машинах, вам потрібно дуже подумати над тим, чому вони це роблять. Майже у всіх випадках виникне якась основна проблема, яку слід усунути. Якщо ваша мережа (включаючи такі речі, як DNS) працює належним чином, у них не повинно бути причин цього робити. Іншими словами, що вам потрібно виправити, щоб усунути їх причини і тим самим зробити це не проблемою?
Джон Гарденє

Відповіді:


25
  1. Майте окрему підмережу (а краще окрему VLAN) для своїх серверів. Це в значній мірі усуває проблему "випадкового" перекриття.

  2. Користуватися якоюсь автентифікацією на рівні NAC або порту, а адреса, призначена DHCP, є обов'язковою умовою перевірки стану здоров'я.

  3. Не дозволяйте вашим користувачам бути адміністратором на своїх локальних машинах :)


1
+1 Усе вищесказане =]
Chris S

9
Немає способу запобігти присвоєнню користувачеві з місцевим адміністратором на пристрої присвоєння вже використовуваної IP-адреси, періоду. Оскільки вони володіють машиною, вони можуть змусити її говорити все, що вони хочуть. Все, що ви можете зробити, це обмежити збиток - який, якщо ви використовуєте NAC або подібне, він здатний обмежити збиток до 0.
mfinni

2

Ви можете запустити сценарій, використовуючи групову політику, щоб встановити мережевий адаптер для використання DHCP.

Наприклад: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Схоже, може бути також групова політика щодо відключення мережевих налаштувань: Як відключити налаштування Tcp / Ip у Windows 7 через GPO?


2

Спробуйте ввімкнути перехід DHCP. Кожен пристрій, підключений до комутатора, повинен надсилати запит DHCP і отримувати дійсну відповідь від вашого надійного сервера DHCP, перш ніж мати можливість використовувати мережу.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.