5
Änderung der IP-Adresse für Lokale Administratoren sperren
Hallo,
wir haben ein Problem in unserem Netzwerk bei dem wir uns keinen richtigen Rat mehr wissen.
Für einige PC's speziell in unserem Produktionsbereich wollen wir den Internetzugriff sperren. Dies haben wir im Moment über unseren Router realisiert, indem wir in diesem die IP-Adressen der Rechner einfach gesperrt haben. Diese sind statisch zugewiesen.
Leider mussten wir jetzt feststellen, dass dies bei Weitem nicht ausreichend ist. Unsere User ändern einfach dann die IP-Adresse des PC's und schon funktioniert der Internetzugriff.
Aufgrund von Problemen mit einigen Anwendungen sind alle User lokale Administratoren.
Kennt jemand eine Möglichkeit, mit welcher wir dem Lokalen Admin das Recht zur Änderung der IP-Adresse entziehen können oder eine ganz andere Variante um unser Problem lösen zu können.
DANKE
Mfg Alexander Stumpf
wir haben ein Problem in unserem Netzwerk bei dem wir uns keinen richtigen Rat mehr wissen.
Für einige PC's speziell in unserem Produktionsbereich wollen wir den Internetzugriff sperren. Dies haben wir im Moment über unseren Router realisiert, indem wir in diesem die IP-Adressen der Rechner einfach gesperrt haben. Diese sind statisch zugewiesen.
Leider mussten wir jetzt feststellen, dass dies bei Weitem nicht ausreichend ist. Unsere User ändern einfach dann die IP-Adresse des PC's und schon funktioniert der Internetzugriff.
Aufgrund von Problemen mit einigen Anwendungen sind alle User lokale Administratoren.
Kennt jemand eine Möglichkeit, mit welcher wir dem Lokalen Admin das Recht zur Änderung der IP-Adresse entziehen können oder eine ganz andere Variante um unser Problem lösen zu können.
DANKE
Mfg Alexander Stumpf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150479
Url: https://administrator.de/contentid/150479
Printed on: April 27, 2024 at 04:04 o'clock
5 Comments
Latest comment
Hallo,
kann euer Router eventuell Proxy-/Userauthentifikation? Oder alle IPs sperren und nur die von ausgewählten Rechnern freigeben. Möglicherweise kannst Du die Sperre nicht nur auf die IP sondern die MAC Adresse festnageln.
Eventuell könnte man die Adminrechte entziehen und mittels runas/runas spc oder ähnlichen Tools die problematischen Anwendungen starten.
Sonst hilft auch eine Dienstanweisung und Abmahnungen.
Gruß
Andreas
kann euer Router eventuell Proxy-/Userauthentifikation? Oder alle IPs sperren und nur die von ausgewählten Rechnern freigeben. Möglicherweise kannst Du die Sperre nicht nur auf die IP sondern die MAC Adresse festnageln.
Eventuell könnte man die Adminrechte entziehen und mittels runas/runas spc oder ähnlichen Tools die problematischen Anwendungen starten.
Sonst hilft auch eine Dienstanweisung und Abmahnungen.
Gruß
Andreas
Guten Morgen,
mir selbst würden noch 2 Möglichkeiten einfallen.
1. per Gruppenrichtlinien wenn ein Windowsserver vorhanden ist
2. per Firewall o.ä. wie IPCop oder Endian dort sind 4 voreingestellte Bereiche mit unterschiedlichen Zugriffsrechten. Alternativ kann dort auch eine Zuordnung der IP an eine MAC gekoppelt werden das die IP gar nicht local geändert werden kann da sie von eine DHCP verteilt wird.
Hoffe
mir selbst würden noch 2 Möglichkeiten einfallen.
1. per Gruppenrichtlinien wenn ein Windowsserver vorhanden ist
2. per Firewall o.ä. wie IPCop oder Endian dort sind 4 voreingestellte Bereiche mit unterschiedlichen Zugriffsrechten. Alternativ kann dort auch eine Zuordnung der IP an eine MAC gekoppelt werden das die IP gar nicht local geändert werden kann da sie von eine DHCP verteilt wird.
Hoffe
Hi.
Ich würde wie Kirschi schrieb auch die Anweisung rausgeben, dass das IP-Ändern verboten ist und überwacht wird (Konsequenzen müsst Ihr Euch dann überlegen). Mach den Nutzern klar, dass sie die Adminrechte nur zu einem bestimmten Zweck bekommen haben. Abgesehen davon ist es unmöglich, einem Admin die Änderungsmöglichkeit zu verbauen. Alles was Du einstellst, kann er rückgängig machen, er ist Admin - auch Domänen-GPOs helfen hier nicht, wenn die jenigen gewieft sind, können sie diese dank ihrer Rechte umgehen. Weitere technische Ansätze wie SQUID, bei dem Du Sachen wie "erlaube Nutzer A von IP XY" erlauben kannst, sind machbar.
Ich würde wie Kirschi schrieb auch die Anweisung rausgeben, dass das IP-Ändern verboten ist und überwacht wird (Konsequenzen müsst Ihr Euch dann überlegen). Mach den Nutzern klar, dass sie die Adminrechte nur zu einem bestimmten Zweck bekommen haben. Abgesehen davon ist es unmöglich, einem Admin die Änderungsmöglichkeit zu verbauen. Alles was Du einstellst, kann er rückgängig machen, er ist Admin - auch Domänen-GPOs helfen hier nicht, wenn die jenigen gewieft sind, können sie diese dank ihrer Rechte umgehen. Weitere technische Ansätze wie SQUID, bei dem Du Sachen wie "erlaube Nutzer A von IP XY" erlauben kannst, sind machbar.
2 VLANs benutzen und dem Router sagen, dass er auf dem 2. VLAN nicht ins Internet routen soll (ja, AD kommt auch mit gerouteten Netzen klar, wenn es richtig konfiguriert ist).
moin,
Ich kenne keine Software / Windowsversion ab NT3.51 wo diese Zeile tatsächlich greift.
Es gibt:
Die kann man nutzen und braucht keine Adminrechte an Schlaudaus zu geben.
@ Kirschi im Prinzip gilt...
Wer rausfindet, dass er zum surfen nur die Ip ändern muß, findet auch raus, wie man ne Mac fälscht. Und mit lokalen Adminrechten ist das quasi die EInladung das auch zu probieren.
Gruß
Aufgrund von Problemen mit einigen Anwendungen sind alle User lokale Administratoren.
Ich kenne keine Software / Windowsversion ab NT3.51 wo diese Zeile tatsächlich greift.
Es gibt:
- Ordnerrechte (bei NTFS Laufwerken)
- Registryberechtigungen
Die kann man nutzen und braucht keine Adminrechte an Schlaudaus zu geben.
@ Kirschi im Prinzip gilt...
Wer rausfindet, dass er zum surfen nur die Ip ändern muß, findet auch raus, wie man ne Mac fälscht. Und mit lokalen Adminrechten ist das quasi die EInladung das auch zu probieren.
Gruß