有没有办法让用户静态设置他们的机器上的IP地址?
我们有很多带有静态IP地址的服务器,还有一个DHCP服务器。 我怕让用户在他们的机器上设置一个静态IP地址,他们最终会错误地得到一个服务器的IP地址。
我知道我们可以在Active Directory上创build一个阻止networking接口更改的规则,或者创build没有pipe理权限的login名,但是所有这些解决scheme都可以被绕过。 我想要一些服务器规则,只有我们的networkingpipe理员有权访问。
解决方法:将用户和服务器放在不同的子网中。 一个快速的VLAN和路由器的变化应该让它运行。 那么你的用户不能接受服务器的IP地址,因为他们是在“错误的”物理连接上才能这样做。
您只能委派这些用户需要的“pipe理员”权限(创build一个新的AD组并使用组策略(例如)让他们安装软件,但不能修改networking设置)。 这当然取决于他们“需要”的pipe理权限,因为他们不愚蠢,而且要求他们是Administrators组的成员。
这个解决scheme还具有执行最小权限原则的优势 – 从我可以从您的问题中收集的意见和您的意见,您应该努力应用于整个组织,因为您的开发者似乎在理智的政策和环境稳定性。
改变networking设置是今天的问题。 明天的问题将是另外一个无用的用户因滥用其pipe理权限而中断。 正如Sam在评论中指出的那样,为了保持对环境的控制,您真的需要处理潜在的问题(不受信任的用户被授予pipe理员权限)。
拉斐尔,我会build议对这个问题采取双pipe齐下的方法。
正如Chris S.所说,将用户和服务器置于不同的子网中是非常值得的。 您也可以将静态IPnetworking打印机放在该服务器子网或其自己的子网中。 在安全,组织和pipe理方面,这是一个很大的回报。
其次,我很抱歉再次提出本地pipe理员权限,但我相信有一个解决scheme,将为您工作。 Microsoft应用程序兼容性工具包专为此类问题而devise,并为Windows 7客户端带来了一些令人印象深刻的改进。 你试过了吗? 简而言之,它会检测应用程序需要什么权限(无论是pipe理员权限还是受限制的registry项),然后创build“填充程序”以使应用程序在有限的用户帐户下运行时可以工作。 当以有限的用户身份运行时,它们将提升特定应用程序的权限,而不是整个用户会话。 这将释放您删除这些麻烦的pipe理权限,从而避免您的静态/ DHCP问题。
试一试,祝你好运!