iT邦幫忙

0

限制AD內user更改IP&AD安裝程式權限

zx 2017-07-03 17:57:2810214 瀏覽
  • 分享至 

  • xImage

大大好 想請問
環境:user加入AD但有給本機administrator權限
想請問是否有什麼辦法能限制user更改IP(試過GPO但可能受到本機administrtor影響沒生效)
不要說收回本機administrator權限因為是偉大的高層允許的
好讓user能安裝程式
(權限如果收回來 是否有開放安裝程式的權限呀? power user權限好像還是有限制...)
感謝大大的解惑!!

看更多先前的討論...收起先前的討論...
小魚 iT邦大師 1 級 ‧ 2017-07-03 19:30:45 檢舉
都有administrator權限了還有什麼不能做的?
rmko iT邦新手 1 級 ‧ 2017-07-03 19:42:00 檢舉
確實,已經開放成這樣了,建議慢慢慢慢調整。加油 ~
CalvinKuo iT邦大師 7 級 ‧ 2017-07-04 08:44:45 檢舉
那就請偉大的高層買資產管理程式來控管User改IP與安裝程式。
User改IP或安裝程式馬上打電話去關切,或直接報告上級移除該User的本機管理者權限。
newkevin iT邦高手 1 級 ‧ 2017-07-04 09:59:04 檢舉
恐嚇手法
以前有案例
有駭客入侵後抹除入侵痕跡
然後就以 最後使用該IP者告發
雖然最後沒事
但跑法院的次數 跟律師費...
這樣告知高層
說萬一底下亂改IP用到你用過的IP
....
zx iT邦新手 5 級 ‧ 2017-07-04 10:33:40 檢舉
如果有安裝程式的權限 我想比較可能可以把administrator權限收回 但上網爬文沒看到ORZ...
還是感謝各位大大的解惑~
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
魷魚
iT邦新手 1 級 ‧ 2017-07-04 08:55:53
最佳解答

我剛剛試驗了一下,給你參考看看
在GPO中使用者設定>原則>管理範本>控制台>隱藏指定的控制台項目
啟用,加入網路和共用中心。
這樣使用者在控制台就找不到網路和共用中心了,右下角圖示我的會無法使用,如果仍能使用,就再看看有啥東西可以把它隱藏。
※要修改要用cmd>NCPA.cpl來打開介面

我之前去上Server的課程,講師第一句話就是,如果你們公司政策是開放管理者權限,你可以回家了,因為這些課上了也沒用XDDDDD
既然使用者有管理者權限,無法限制他,那就隱藏吧XDDDDDD

另外Raytracy大說的也很不錯,但前提是你們公司的SW都是網管型,且要支援port security。另外題是如果要使用這方法,可以試試sticky的功能。

再來就是消極一點了,像我就是每天無聊時用掃描ip的程式,看看公司內是否有多的IP出來或者有人更改IP。(你先用掃描軟體掃一輪,然後全部加到軟體的資料庫,然後你下次再掃,他會幫妳比對資料庫,告訴你IP跟MAC有不合的)
※我是用科來MAC掃描工具,也可以試試Advanced IP Scanner,可以順便偷看誰在亂分享檔案XDDDD

應該還有很多方法跟面向可以嘗試,但就要看值不值了,畢竟有些會增加工作量QAQ

zx iT邦新手 5 級 ‧ 2017-07-04 10:29:59 檢舉

OK 感謝魷魚大大 我再試試!!

1
Ray
iT邦大神 1 級 ‧ 2017-07-03 19:42:16

用網管型 Switch, 在 port 上面鎖 Static Mac address table, 他自己改 IP 就不會通了....

zx iT邦新手 5 級 ‧ 2017-07-04 10:29:19 檢舉

了解 感謝雷大!!

0
zero
iT邦好手 1 級 ‧ 2017-07-05 14:39:25

管理者權限,最後還是要拿掉的,拿掉後在看使用者需求再打開給他

或者請IT管理人員去協助處理安裝程式

現階段沒有的話,要就隱藏起來,不然就是限制現在的IP才有辦法連外網

不管是從DNS上動手腳,或者在防火牆動手腳都可以

這是最簡單每台電腦都需要運作的東西

不然就是像Raytracy大說的,你從後端Switch動手。

zx iT邦新手 5 級 ‧ 2017-07-10 16:32:24 檢舉

感謝大大 我發現GPO中使用者設定>原則>管理範本>控制台>隱藏指定的控制台項目 啟用,加入網路和共用中心。
就可以隱藏了 要改IP的話用指令

我要發表回答

立即登入回答