Забороняйте адміністративним користувачам призначати дублюючі статичні ІС на своїх робочих станціях

Як я можу запобігти користувачеві, який є адміністратором на своїй локальній машині, вручну призначити IP своєму мережевому адаптеру, який використовується на сервері? Деякі користувачі це зробили, і це спричинило повторювані проблеми з ІР, які взяли вузли в кластерах в моїй організації.

switch local-area-network

— відчай
джерело

Що ви використовуєте для DHCP? Windows? Linux? Щось ще? Ви хочете створити пул для DHCP та виключити IP-адреси, які ви використовуєте для своїх серверів.

— colealtdelete

Ваше запитання було трохи незрозумілим, можливо, тому, що англійська мова не є вашою першою мовою? Я відредагував це, щоб зробити його легше зрозуміти.

— MDMarra

@mdcp Ні в якому разі. Не, якщо користувачі місцеві адміністратори. І ні, якщо машини навіть не в домені - якщо я приходжу до вашого офісу зі своїм власним ноутбуком і підключаюсь до вже використовуваного IP-адреси, а ви не робите щось на Layer-2, щоб запобігти пошкодженню (наприклад, 802.1x, NAC і т. Д.), Тоді я просто вибив щось із мережі.

— mfinni

Мені б дуже хотілося знати - чому люди навіть роблять це?

— Річард Терретт

Якщо ваші користувачі встановлюють фіксовану IP-адресу на своїх машинах, вам потрібно дуже подумати над тим, чому вони це роблять. Майже у всіх випадках виникне якась основна проблема, яку слід усунути. Якщо ваша мережа (включаючи такі речі, як DNS) працює належним чином, у них не повинно бути причин цього робити. Іншими словами, що вам потрібно виправити, щоб усунути їх причини і тим самим зробити це не проблемою?

— Джон Гарденє

Відповіді:

Майте окрему підмережу (а краще окрему VLAN) для своїх серверів. Це в значній мірі усуває проблему "випадкового" перекриття.
Користуватися якоюсь автентифікацією на рівні NAC або порту, а адреса, призначена DHCP, є обов'язковою умовою перевірки стану здоров'я.
Не дозволяйте вашим користувачам бути адміністратором на своїх локальних машинах :)

— MDMarra
джерело

+1 Усе вищесказане =]

— Chris S

Немає способу запобігти присвоєнню користувачеві з місцевим адміністратором на пристрої присвоєння вже використовуваної IP-адреси, періоду. Оскільки вони володіють машиною, вони можуть змусити її говорити все, що вони хочуть. Все, що ви можете зробити, це обмежити збиток - який, якщо ви використовуєте NAC або подібне, він здатний обмежити збиток до 0.

— mfinni

Ви можете запустити сценарій, використовуючи групову політику, щоб встановити мережевий адаптер для використання DHCP.

Наприклад: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Схоже, може бути також групова політика щодо відключення мережевих налаштувань: Як відключити налаштування Tcp / Ip у Windows 7 через GPO?

— Енді
джерело

Спробуйте ввімкнути перехід DHCP. Кожен пристрій, підключений до комутатора, повинен надсилати запит DHCP і отримувати дійсну відповідь від вашого надійного сервера DHCP, перш ніж мати можливість використовувати мережу.

— 0xFF
джерело