Darth Emil Posted September 25, 2010 Report Share Posted September 25, 2010 Имеется проблема. На работе интернет раздается через прокси, разделение уровня доступа по IP-адресам. Есть пара человек, которые очень уж нагло периодически меняют свои IP-адреса на более "привилегированные". Вариант решения в служебном порядке через докладные и заявы не рассматриваю, хочу разобраться по-админски. Как запретить изменять свойства сетевого адаптера, не урезая админских прав на клиентских машинах? Слышал что можно сделать через реестр или групповые политики. Вопрос в том КАК? Что особо нужно чтобы это делалось "одним кликом", через батник или рег-файл, чтобы сделать быстро и максимально незаметно для юзера. Link to comment Share on other sites More sharing options...
Timba Posted September 25, 2010 Report Share Posted September 25, 2010 Darth Emil: Запрет на изменение IP-адреса - это уже урезание прав пользователя. Про "запретить" через GPO очень сильно сомневаюсь в случае, если юзеры сидят в системе с админскими правами. Но затруднить можно. Создаем GPO, в нем заходим в Конфигурация пользователя - Административные шаблоны - Сеть - Сетевые подключения. там включаем: 1) Запретить доступ к свойствам компонентов подключений по локальной сети. 2) Запретить дополнительную настройку TCP/IP. 3) Запретить доступ к свойствам подключений по локальной сети. 4) Включить политики сетевых подключений Windows 2000 для администраторов. дальше идем в Конфигурация пользователя - Административные шаблоны - Система. включаем: Запретить использование командной строки. а так же в Конфигурация пользователя - Административные шаблоны - Панель задач и меню "Пуск". включаем: 1) Удалить команду "Выполнить" из меню "Пуск". 2) Запретить доступ к контекстному меню для панели задач. Но и в этом случае возможность смены IP-адреса у "пользователя-админа" остается. Дальше не копал, не доводилось заниматься таким мазохизмом (админам станций урезать права). Link to comment Share on other sites More sharing options...
Darth Emil Posted September 25, 2010 Author Report Share Posted September 25, 2010 Timba: все это я знаю. Вопрос в том как все это сделать автоматом? Т.е. через батник например... Link to comment Share on other sites More sharing options...
Maikll Posted September 25, 2010 Report Share Posted September 25, 2010 Оффтоп месье знает толк в извращениях... Darth Emil: добавить в реестр: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections]"NC_EnableAdminProhibits"=dword:00000001 "NC_LanChangeProperties"=dword:00000000 "NC_LanProperties"=dword:00000000 1 Link to comment Share on other sites More sharing options...
Timba Posted September 25, 2010 Report Share Posted September 25, 2010 Timba: все это я знаю. Вопрос в том как все это сделать автоматом? Т.е. через батник например... Что сделать? Включить приведенные выше групповые политики? Или возвращать IP-адрес к необходимому значению? Если первое, то непонятно, зачем тогда вообще нужны политики. Если второе, то если через батник, то так например: @echo offnetsh interface ip set address name="IFACE" static 192.168.27.146 255.255.255.0 192.168.27.3 1 где: IFACE - имя сетевого подключения 192.168.27.146 - необходимый к назначению IP-адрес 255.255.255.0 - маска 192.168.27.3 - шлюз 1 - метрика Link to comment Share on other sites More sharing options...
Darth Emil Posted September 26, 2010 Author Report Share Posted September 26, 2010 Что сделать? Включить приведенные выше групповые политики?Да, чтобы сделать это быстро, одним действием, чтобы пользователь ничего не заметил. Link to comment Share on other sites More sharing options...
me_hungry Posted February 19, 2011 Report Share Posted February 19, 2011 Maikll спасибо..нашел наконец в реестре где групповая политика отображается) Благодарочка * Link to comment Share on other sites More sharing options...
Recommended Posts