大大好 想請問
環境:user加入AD但有給本機administrator權限
想請問是否有什麼辦法能限制user更改IP(試過GPO但可能受到本機administrtor影響沒生效)
不要說收回本機administrator權限因為是偉大的高層允許的
好讓user能安裝程式
(權限如果收回來 是否有開放安裝程式的權限呀? power user權限好像還是有限制...)
感謝大大的解惑!!
我剛剛試驗了一下,給你參考看看
在GPO中使用者設定>原則>管理範本>控制台>隱藏指定的控制台項目
啟用,加入網路和共用中心。
這樣使用者在控制台就找不到網路和共用中心了,右下角圖示我的會無法使用,如果仍能使用,就再看看有啥東西可以把它隱藏。
※要修改要用cmd>NCPA.cpl來打開介面
我之前去上Server的課程,講師第一句話就是,如果你們公司政策是開放管理者權限,你可以回家了,因為這些課上了也沒用XDDDDD
既然使用者有管理者權限,無法限制他,那就隱藏吧XDDDDDD
另外Raytracy大說的也很不錯,但前提是你們公司的SW都是網管型,且要支援port security。另外題是如果要使用這方法,可以試試sticky的功能。
再來就是消極一點了,像我就是每天無聊時用掃描ip的程式,看看公司內是否有多的IP出來或者有人更改IP。(你先用掃描軟體掃一輪,然後全部加到軟體的資料庫,然後你下次再掃,他會幫妳比對資料庫,告訴你IP跟MAC有不合的)
※我是用科來MAC掃描工具,也可以試試Advanced IP Scanner,可以順便偷看誰在亂分享檔案XDDDD
應該還有很多方法跟面向可以嘗試,但就要看值不值了,畢竟有些會增加工作量QAQ
用網管型 Switch, 在 port 上面鎖 Static Mac address table, 他自己改 IP 就不會通了....
管理者權限,最後還是要拿掉的,拿掉後在看使用者需求再打開給他
或者請IT管理人員去協助處理安裝程式
現階段沒有的話,要就隱藏起來,不然就是限制現在的IP才有辦法連外網
不管是從DNS上動手腳,或者在防火牆動手腳都可以
這是最簡單每台電腦都需要運作的東西
不然就是像Raytracy大說的,你從後端Switch動手。