Как запретить пользователям менять IP адрес

netphil · Отправлено: **20:39, 19-02-2003** | #2

Кажется можно в свойствах DHCP посмотри там можно сделать строгую привязку к MAC !

Animal · Отправлено: **20:50, 19-02-2003** | #3

Лучше всего не делать таких пользователей админами своих машин. Тогда они ничего не поменяют, как бы им адрес не присваивался - статически или через DHCP.

В DHCP резервирование можно создать и там связать MAC-адрес с IP. Правда я не пробовал проставлять на раб. станции вручную адрес из DHCP-диапазона, не знаю - будет у него доступ в сеть или система выдаст конфликт адресов.
Но даже если выдаст конфликт адресов (в чем я сильно сомневаюсь), все равно остается возможность поставить IP не из диапазона DHCP, например диапазон 192.168.10.50-192.168.10.200. Используется маска 255.255.255.0. Тогда пользователь сможет поставить например 192.168.10.49. Чтобы это закрыть можно либо firewall какой-нить настроить на сервере, либо использовать такой диапазон DHCP, который не оставит возможности увидеть сеть, используя IP адрес за его пределами (чтобы большим не делать можно маску нестандартную использовать).

Если же учетная запись, под которой работает чел, включена в группу администраторы данной раб. станции, то он по-идее все равно сможет обойти это ограничение. Мак-адрес подменив например.

На дорогом активном оборудовании вроде-бы можно ограничить IP для порта, что с др. IP просто не подключишься.

Dmitrich · Отправлено: **17:45, 20-02-2003** | #4

Цитата:

... Мак-адрес подменив например.

Это интересно как??? Если он привяжет IP к MACу сетевухи, то человек пойдёт лосом при попытке указания не того IP.

Animal · Отправлено: **18:20, 20-02-2003** | #5

Dmitrich
Смотрите:
http://forum.oszone.net/topic.cgi?fo...amp;topic=1210
Там пост Vasketsov'а:
"...в свойствах адаптера (там где оборудование) если есть параметр "адрес" - это он и есть, по умолчанию там пусто, то есть, передается физический адрес."
Т.е. чел, являясь админом своей машины, пробьет в свойствах адаптера мас=адрес, и система будет подставлять его вместо физического мас-адреса. Я так думаю, что DHCP не различает, что это не физический, а подставной мас-адрес и соответственно привязка к IP не сработает.

Повторюсь, имхо правильный путь - не делать пользователей админами своих машин.

Fronik · Отправлено: **21:20, 20-02-2003** | #6

Можно также в систем полиси настроить запрет на смену ипишника и все, и нет ни каких головняков.
А на счет статического МАС адреса я сомневаюсь, DHCP в Win2000Server помоему отличает от физического...

Animal · Отправлено: **00:30, 21-02-2003** | #7

Fronik
Проверю как будет время, отличает или нет.

Fronik · Отправлено: **15:10, 21-02-2003** | #8

Animal
Обязательно сообщи о результатах, желательно по подробнее. Буду очень признателен...

Raper · Отправлено: **08:37, 30-06-2003** | #9

Привет Всем! Такая же проблема у меня но я решил запретить доступ к свойствам сети думаю так легче! трабла токо втом что как ???

))не подскажете? полазил во всем регистре пока ничего

Sergius · Отправлено: **09:48, 30-06-2003** | #10

http://www.winguides.com/registry/display.php/174/