Impedire agli utenti amministrativi di assegnare IP statici duplicati alle loro workstation

Come posso impedire a un utente che è un amministratore sul proprio computer locale di assegnare manualmente un IP alla propria scheda di rete in uso su un server? Alcuni utenti l'hanno fatto ed ha causato duplicati dei problemi IP che hanno portato i nodi nei cluster nella mia organizzazione.

switch local-area-network

— Despe
fonte

Cosa stai usando per DHCP? Finestre? Linux? Qualcos'altro? Vuoi creare un pool per DHCP ed escludere gli IP che stai utilizzando per i tuoi server.

— colealtdelete,

La tua domanda non era chiara, forse perché l'inglese non è la tua prima lingua? L'ho modificato per renderlo un po 'più facile da capire.

— MDMarra,

@mdcp Assolutamente no. Non se gli utenti sono amministratori locali. E non se le macchine non sono nemmeno nel dominio - se vengo nel tuo ufficio con il mio laptop e mi collego con un IP già in uso e non stai facendo qualcosa su Layer-2 per prevenire danni (come 802.1x, NAC, ecc.), Quindi ho appena eliminato qualcos'altro dalla rete.

— mfinni,

Mi piacerebbe davvero saperlo: perché le persone fanno questo?

— Richard Terrett,

Se i tuoi utenti stanno impostando indirizzi IP fissi sui loro computer, devi riflettere molto sul motivo per cui lo stanno facendo. In quasi tutti i casi ci sarà qualche problema di fondo che si dovrebbe porre rimedio. Quando la tua rete (incluso cose come il DNS) funziona correttamente, non dovrebbero avere motivo di farlo. In altre parole, cosa devi correggere per rimuoverne le ragioni e quindi renderlo un non-problema?

— John Gardeniers,

Risposte:

Avere una sottorete separata (e preferibilmente una VLAN separata) per i server. Questo praticamente elimina il problema della sovrapposizione "accidentale".
Utilizzare un tipo di autenticazione NAC o a livello di porta e disporre di un indirizzo assegnato da DHCP come prerequisito del controllo dello stato.
Non lasciare che i tuoi utenti siano amministratori sui loro computer locali :)

— MDMarra
fonte

+1 Tutto quanto sopra =]

— Chris S il

Non è possibile impedire a qualcuno con un amministratore locale su una macchina di assegnare un indirizzo IP già in uso, punto. Poiché possiedono la macchina, possono farla dire qualunque cosa vogliano. Tutto quello che puoi fare è limitare il danno - che, se stai usando NAC o simile, è in grado di limitare il danno fino a 0.

— mfinni,

È possibile eseguire uno script utilizzando i criteri di gruppo per impostare la scheda di rete in modo che utilizzi DHCP.

Ad esempio: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Sembra che ci possano essere anche criteri di gruppo per disabilitare le impostazioni di rete: Come disabilitare le impostazioni Tcp / Ip in Windows 7 tramite GPO?

— Andy
fonte

Prova ad abilitare lo snooping DHCP. Ogni dispositivo collegato allo switch dovrà inviare una richiesta DHCP e ricevere una risposta valida dal server DHCP attendibile prima di poter utilizzare la rete.

— 0xFF
fonte