Uniemożliwiaj użytkownikom administracyjnym przypisywanie zduplikowanych statycznych adresów IP do swoich stacji roboczych

Jak mogę uniemożliwić użytkownikowi, który jest administratorem na swoim komputerze lokalnym, ręczne przypisywanie adresu IP do karty sieciowej używanej na serwerze? Niektórzy użytkownicy to zrobili i spowodowało to zduplikowane problemy z IP, które spowodowały, że węzły w klastrach spadły w mojej organizacji.

switch local-area-network despe
źródło

Czego używasz do DHCP? Windows? Linux? Coś innego? Będziesz chciał utworzyć pulę dla DHCP i wykluczyć adresy IP używane na serwerach.

colealtdelete

Twoje pytanie było trochę niejasne, być może dlatego, że angielski nie jest twoim pierwszym językiem? Zredagowałem to, aby było trochę łatwiejsze do zrozumienia.

MDMarra,

@mdcp Nie ma mowy. Nie, jeśli użytkownicy są lokalnymi administratorami. I nie, jeśli maszyny nie są nawet w domenie - jeśli przyjdę do twojego biura z własnym laptopem i podłączę się do już używanego adresu IP, a ty nie robisz nic w warstwie 2, aby zapobiec uszkodzeniom (np. 802.1x, NAC itp.), Po prostu usunąłem coś innego z sieci.

mfinni

Naprawdę chciałbym wiedzieć - dlaczego ludzie to robią?

Richard Terrett

Jeśli Twoi użytkownicy ustawiają stałe adresy IP na swoich komputerach, musisz bardzo mocno przemyśleć, dlaczego to robią. W prawie wszystkich przypadkach pojawi się problem, który należy naprawić. Kiedy Twoja sieć (w tym DNS) działa poprawnie, nie powinna mieć powodu, aby to robić. Innymi słowy, co musisz naprawić, aby usunąć ich przyczyny, a tym samym sprawić, że nie będzie problemu?

John Gardeniers,

Odpowiedzi:

Posiadaj oddzielną podsieć (a najlepiej oddzielną sieć VLAN) dla swoich serwerów. To prawie eliminuje problem „przypadkowego” nakładania się.
Użyj pewnego rodzaju uwierzytelnienia NAC lub uwierzytelniania na poziomie portu i skonfiguruj adres przypisany do DHCP, aby sprawdzić poprawność.
Nie pozwól użytkownikom administrować na ich lokalnych komputerach :)

MDMarra
źródło

+1 Wszystkie powyższe =]

Chris S

Nie ma sposobu, aby uniemożliwić osobie z lokalnym administratorem na komputerze przypisanie już używanego adresu IP, kropki. Ponieważ są właścicielami maszyny, mogą sprawić, że powie coś, co zechce. Wszystko, co możesz zrobić, to ograniczyć obrażenia - co, jeśli używasz NAC lub podobnego, jest w stanie ograniczyć obrażenia do zera

mfinni 26.12.12

Możesz uruchomić skrypt za pomocą zasad grupy, aby ustawić kartę sieciową na używanie DHCP.

Na przykład: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Wygląda na to, że mogą istnieć również zasady grupy, które wyłączają ustawienia sieciowe: Jak wyłączyć ustawienia Tcp / Ip w Windows 7 przez GPO?

Andy
źródło

Spróbuj włączyć szpiegowanie DHCP. Każde urządzenie podłączone do przełącznika będzie musiało wysłać żądanie DHCP i otrzymać prawidłową odpowiedź z zaufanego serwera DHCP, zanim będzie mogło korzystać z sieci.

0xFF
źródło