Darth Emil Опубликовано 25 сентября, 2010 Жалоба Поделиться Опубликовано 25 сентября, 2010 Имеется проблема. На работе интернет раздается через прокси, разделение уровня доступа по IP-адресам. Есть пара человек, которые очень уж нагло периодически меняют свои IP-адреса на более "привилегированные". Вариант решения в служебном порядке через докладные и заявы не рассматриваю, хочу разобраться по-админски. Как запретить изменять свойства сетевого адаптера, не урезая админских прав на клиентских машинах? Слышал что можно сделать через реестр или групповые политики. Вопрос в том КАК? Что особо нужно чтобы это делалось "одним кликом", через батник или рег-файл, чтобы сделать быстро и максимально незаметно для юзера. Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 25 сентября, 2010 Жалоба Поделиться Опубликовано 25 сентября, 2010 Darth Emil: Запрет на изменение IP-адреса - это уже урезание прав пользователя. Про "запретить" через GPO очень сильно сомневаюсь в случае, если юзеры сидят в системе с админскими правами. Но затруднить можно. Создаем GPO, в нем заходим в Конфигурация пользователя - Административные шаблоны - Сеть - Сетевые подключения. там включаем: 1) Запретить доступ к свойствам компонентов подключений по локальной сети. 2) Запретить дополнительную настройку TCP/IP. 3) Запретить доступ к свойствам подключений по локальной сети. 4) Включить политики сетевых подключений Windows 2000 для администраторов. дальше идем в Конфигурация пользователя - Административные шаблоны - Система. включаем: Запретить использование командной строки. а так же в Конфигурация пользователя - Административные шаблоны - Панель задач и меню "Пуск". включаем: 1) Удалить команду "Выполнить" из меню "Пуск". 2) Запретить доступ к контекстному меню для панели задач. Но и в этом случае возможность смены IP-адреса у "пользователя-админа" остается. Дальше не копал, не доводилось заниматься таким мазохизмом (админам станций урезать права). Ссылка на комментарий Поделиться на другие сайты Поделиться
Darth Emil Опубликовано 25 сентября, 2010 Автор Жалоба Поделиться Опубликовано 25 сентября, 2010 Timba: все это я знаю. Вопрос в том как все это сделать автоматом? Т.е. через батник например... Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 25 сентября, 2010 Жалоба Поделиться Опубликовано 25 сентября, 2010 Оффтоп месье знает толк в извращениях... Darth Emil: добавить в реестр: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections]"NC_EnableAdminProhibits"=dword:00000001 "NC_LanChangeProperties"=dword:00000000 "NC_LanProperties"=dword:00000000 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 25 сентября, 2010 Жалоба Поделиться Опубликовано 25 сентября, 2010 Timba: все это я знаю. Вопрос в том как все это сделать автоматом? Т.е. через батник например... Что сделать? Включить приведенные выше групповые политики? Или возвращать IP-адрес к необходимому значению? Если первое, то непонятно, зачем тогда вообще нужны политики. Если второе, то если через батник, то так например: @echo offnetsh interface ip set address name="IFACE" static 192.168.27.146 255.255.255.0 192.168.27.3 1 где: IFACE - имя сетевого подключения 192.168.27.146 - необходимый к назначению IP-адрес 255.255.255.0 - маска 192.168.27.3 - шлюз 1 - метрика Ссылка на комментарий Поделиться на другие сайты Поделиться
Darth Emil Опубликовано 26 сентября, 2010 Автор Жалоба Поделиться Опубликовано 26 сентября, 2010 Что сделать? Включить приведенные выше групповые политики?Да, чтобы сделать это быстро, одним действием, чтобы пользователь ничего не заметил. Ссылка на комментарий Поделиться на другие сайты Поделиться
me_hungry Опубликовано 19 февраля, 2011 Жалоба Поделиться Опубликовано 19 февраля, 2011 Maikll спасибо..нашел наконец в реестре где групповая политика отображается) Благодарочка * Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения