有没有办法不允许用户在他们的机器上静态设置 IP 地址?
我们有很多带有静态 IP 地址的服务器和一个 DHCP 服务器。我害怕让用户在他们的机器上设置一个静态 IP 地址,他们最终会错误地获得一个服务器 IP 地址。
我知道我们可以在Active Directory上创建一个规则来阻止网络接口上的更改,或者创建没有管理权限的登录名,但所有这些解决方案都可以绕过。我想要一些只有我们的网络管理员才能访问的服务器规则。
您可以仅委派这些用户需要的“管理员”权限(创建新的 AD 组并使用组策略(例如)让他们安装软件,但不能修改网络设置)。这当然取决于他们“需要”管理员权限,因为他们不愚蠢并要求他们成为该Administrators组的成员......
该解决方案还具有强制执行最小权限原则的优势- 从我从您的问题和评论中收集到的信息,您应该努力在整个组织中应用这一点,因为您的开发人员似乎对健全的政策和环境粗暴对待稳定。
更改网络设置是当今的问题。明天的问题将是一个无知的用户通过滥用他们的管理员权限而破坏的其他问题。正如 Sam 在评论中指出的那样,您确实需要处理潜在的问题(不受信任的用户被授予管理员权限)以保持对环境的控制。
| 归档时间: |
|
| 查看次数: |
1516 次 |
| 最近记录: |