Запрет отключения сетевого интерфейса (GPO)
 

Здравствуйте!
Средняя школа, ЛВС, контроллер на Вин 2003, GPO. Рабочие станции на Вин 2000 и ХР. Ученики шалят и через правый щелчок по трею сетевого подключения (рядом с часами), Отключить - отключают сетевой интерфейс. Через GPO поставил Конфигурация пользователя-Административные шаблоны-Сеть-Сетевые подключения - для учеников стоит везде Включено. Но пункт Отключить контекстного меню значка сетевого подключения все равно активен. И они, ученики, отключают станцию от сети. А через сеть завязаны сетевые диски и перенаправлен Пуск. Подскажите пожалуйста, где еще можно в GPO включить, чтобы они не смогли отключать сетевой интерфейс.

Спасибо

Ты че смертник давать им право локального админа, переводи их всех на опытного и не мучайся, а лучше гость

Diesel315,
Есть электронные учебники, например Кирилл и Мифодий, требуют для работы права админа. Прошу не говорить, что взял, посмотрел в какие ветви реестра пишет, сменил права. Не один год с ними работаю, все тщетно.

Когда домена не было, локальными политиками задушил учетки учеников по самое "не могу". И сеть не отключали. Перейдя 2 года на домен, настраивая GPO не могу воспроизвести эти настройки, блокирующие отключение.

Спасибо

YDen, А почему нельзя пойти обходным путем: создать назначенное задание в планировщике, которое будет от имени админа запускать нужную программу, а школьникам - ярлык на запуск задания?

Немного поясню.
Да у меня на рабочих станциях ученики локальные админы. Но при этом сильно зажаты в разрешенных действиях.
Отключены: панель управления, выполнить, настройка, подключение\отключение сетевых дисков, свойства системы, управление, возможность изменения всех сетевых настроек. Запрещен доступ к локальным дискам (включены 2 сетевых диска), флешки и автозагрузка отключены. Пуск перенаправлена на сервер. Ну и естественно настройки экрана тоже запрещены. Это все дает более-менее уверенность, что не напакостят. Есть конечно дырки, но уровень учеников средней школы не позволяет им это сделать.

Еще раз повторюсь, когда эти же машины не были в домене, я все разруливал локальными политиками. И там возможности отключения сетевого интерфейса не было. Перейдя на домен и GPO, я не могу восстановить эту настройку. Вот поэтому и прошу помощи.

Спасибо

Если при такой настройке скрыть иконку подключения из трея (в свойствах сетевого подключения), то никто ничего отключить уже не сможет.

Локальный админ может делать на своем компьютере ВСЁ.

Да, в курсе об этом. Просто машин 40 штук, через GPO было бы и быстрее и для опыта полезнее. Ведь делал же. Если не найду другой способ, скрою значок в трее.

4 года такая конфигурация работает, глобальных проблем с "хакерами" не было. Они на словах просто все мастера, максимум систему могут переставить - на это и упор.

Часть учеников (старшие классы) работают под индивидуальными учетками - занесены в группу Ученики. Вот эту группу и указываю как лок. админы. Теперь представьте, если делать задания, как вы советуете, то это нужно делать под каждым пользователем, а машин 40.

В домене? Доменный юзер с правами локального админа? ню-ню

monkkey имел ввиду, что в пределах рабочей станции локальный админ может делать все. Но только локальные операции. Например, доменную учетку изменить не может, но локальную влет.

YDen,

не знаю, что имел ввиду monkkey, но в условиях вашей задачи то, что имел ввиду я

Поясните пожалуйста.

Не уверен что это есть в 2003 а проверить сейчас уже не на чем, но в 2008 есть следующая ветка:
User Configuration - Administrative templates - Network - Network Connections
и там разрешаем/запрещаем все что хочешь касаемо сети в том числе и для локальных админов

Да, вы правы, есть такая ветка.
Самое интересное - стоит все пункты включены, в тч и Запретить отключени\подключение сетевых (дальше забыл)

Вот в этом и весь болт, где-то эта настройка перекрывается. Смотрел локальные политики - стоит незадано.

Как вариант - можно попробовать включить User Group policy looback processing mode в Replace в ветке Computer Configuration - Administrative templates - System - Group policy
Это принудительно заменит настройки локальные и те что прописаны для компьютера на те что прописаны в настройках пользователя в политике

YDen, а политика "Включить политики сетевых подключений Windows 2000 для администраторов" включена?

Не могу ее найти. Но судя по названию она не при чем, т.к трабл идет и на ХР.

моя логика:

+

+

= доменные юзеры с правами локального админа

(отнюдь не локальные администраторы - хотя последних тоже можно придушить групповыми политиками)


local administrator <> domain user with local administrator privileges

Еще раз могу сказать, что локальный админ может запустить regedit и всё переписать, также создать нового локального администратора и т.п., т.е. сделать на локальной машине ВСЁ.

Скорее всего очень даже при чем :)
Конфигурация пользователя->Административные шаблоны->Сеть->Сетевые подключения->Включить политики сетевых подключений Windows 2000 для администраторов

Michael,

Да, стоит.

YDen, запреты, связанные с сетевыми параметрами, задаются в отдельной ГП? Если в этой ГП есть другие настроенные вручную параметры - они работают нормально? Политика точно прилинкована к нужной OU?
Вы имели в виду что все параметры в указанной ветке настроены или все имеют значение "Включено"? Если значение "Включено", то может идет конфликт между параметрами, например с параметром "Способность подключать и отключать подключения по локальной сети"?