AD系統 WINDOWS 2003 SERVER
我想要把某特定電腦上的「區域連線」開放出來,
讓一般使用者自己去設定要「自動取得」還是「固定IP」
以下為我的設定:
我在GPO下...使用者設定/網路/網路連線內
我把「禁止存取區域連線的元件屬性」、「禁止存取區域網際網路」跟「禁止使用tcp/ip進階
設定」的狀態都把他設定成「已停用」,
但是為什麼,我用一般user的帳號進去測試,還是一樣沒辦法更改區域連線下
的tcp/ip 呢??
是我設定錯了嗎??還是少設定了那些設定呢??
已邀請的邦友 {{ invite_list.length }}/5
在"禁止存取區域網路的連線屬性"的說明中有這一段
**判定使用者是否可以變更區域網路連線的內容。
這個設定決定 [內容] 功能表項目是否可以使用,還有使用者是否可以使用 [本機區域連線內容] 對話方塊。
如果您啟用這個設定 (並啟用 [系統管理員可以設定網路連線] 設定),所有使用者都無法使用 [內容] 功能表項目,也無法開啟 [區域連線內容] 對話方塊。
重要: 如果 [系統管理員可以設定網路連線] 已停用或並未設定,這個設定將不會套用到 Windows 2000 以後機器的系統管理員。**
說明了你還要啟用另一個規則,我想你應該是沒有啟用,所以GPO才會沒有套用吧
這個必須一併啟用的規則是:系統管理員可以設定網路連線
測試前請先用使用者的帳號在Dos模式下執行:gpupdate /force
不過這些設定都會套用在使用者環境下,也就是說會隨著使用者跑來跑去,只要是屬於這個GPO下的使用者所使用的任何一台電腦都可以修改網路設定,而不是固定某台電腦而已
你說的「系統管理員可以進行Windows 2000網路連線設定」這個東西的話,我有看到過,但他上面的字,我有看沒有懂= ="
要向你那張圖全部都設定到,才能夠讓一般使用者去設定區域連線下的tcp/ip嗎?
再請問,若今天我電腦內全部都是用固定ip,若我想要在ad下,
一口氣把所有網域內的電腦都變成自動取得,大概要怎麼做呢??= ="
A1.是可以全部照抄,不過有些可能不是你要的功能,自行斟酌囉
A2.其實公司內全部都用固定IP反而比較好,你可以開放一小段的DHCP來給那些有其他需求的電腦用,我倒不建議改成自動取得(有資安問題)。
如果真的有需要,應該是透過GPO來執行script去設定
我想說,聽說ad上有ip綁mac的功能,這樣還會有資安的問題嗎??XD
我後來再我的設定中啟用了一個「系統管理員可以設定網路連線」這個,然後在AD中,建立了一個一般使用者TEST的帳戶,結論…用TEST登入…一樣不能修改區域連線下的東西~~
ORZ
你指的是DHCP上的靜態對應的功能吧,把靜態對應的設定全部刪除就會變成浮動IP了。
我所謂的資安指的是說,因為公司沒有DHCP,所以沒有設定固定IP的電腦會無法使用網路,就算用戶手動設定了一個IP位置,也有可能會因為衝突的發生讓MIS知道,可以比較快排除問題。
你的AD上是否有很多個"組織單位",而每個組織單位都有相對應的"群組原則物件",你必須在"Active Directory 使用者及電腦"中將"test"這個帳號移到你有設定的組織單位下才會套用。
我有把test移到設定的ou下,還把TEST帳號加入本機中的POWER USERS內,
but...
我要的可以更改「區域連線」內容的結果還是沒有出來~~~
囧~~~~~~~
測了很久,我也一直不行,後來把帳號加到本機的Network Configuration Operators群組就可以了
我照你說的測試後,也可以設定OK了,
但
剛剛我想說,嘗試把所有AD上「區域連線」(如上圖)的設定全取消掉!!
發現到若把TEST的帳號加入本機的Network Configuration Operators...
就可以設定區域連線了!!
那…我們在AD上使用者設定/網路/網路連線內
所設定的所有設定,到底有何作用??
疑問??= =??
iThome鐵人賽
看影片追技術