Empêcher les utilisateurs administratifs d'attribuer des adresses IP statiques en double à leurs postes de travail

Comment puis-je empêcher un utilisateur qui est administrateur sur sa machine locale d'attribuer manuellement une adresse IP à sa carte réseau utilisée sur un serveur? Certains utilisateurs l'ont fait, et cela a provoqué des problèmes IP en double qui ont supprimé les nœuds des clusters dans mon organisation.

switch local-area-network despe
la source

Qu'utilisez-vous pour DHCP? Les fenêtres? Linux? Autre chose? Vous allez vouloir créer un pool pour DHCP et exclure les IP que vous utilisez pour vos serveurs.

colealtdelete

Votre question n'était pas claire, peut-être parce que l'anglais n'est pas votre première langue? Je l'ai édité pour le rendre un peu plus facile à comprendre.

MDMarra

@mdcp Pas question. Pas si les utilisateurs sont des administrateurs locaux. Et pas si les machines ne sont même pas dans le domaine - si je viens à votre bureau avec mon propre ordinateur portable et que je me connecte avec une adresse IP déjà utilisée et que vous ne faites rien au niveau 2 pour éviter tout dommage (comme 802.1x, NAC, etc.), alors je viens de supprimer quelque chose d'autre du réseau.

mfinni

J'aimerais vraiment savoir - pourquoi les gens font-ils même cela?

Richard Terrett

Si vos utilisateurs définissent des adresses IP fixes sur leurs machines, vous devez réfléchir sérieusement à la raison pour laquelle ils le font. Dans presque tous les cas , il y aura un problème sous - jacent que vous devez corriger. Lorsque votre réseau (y compris des choses comme DNS) fonctionne correctement, il ne devrait avoir aucune raison de le faire. En d'autres termes, que devez-vous corriger pour supprimer leurs raisons et ainsi en faire un non-problème?

John Gardeniers

Réponses:

Ayez un sous-réseau séparé (et de préférence un VLAN séparé) pour vos serveurs. Cela élimine à peu près le problème du chevauchement «accidentel».
Utilisez une sorte d'authentification NAC ou au niveau du port et ayez une adresse attribuée par DHCP comme condition préalable à la vérification de l'état.
Ne laissez pas vos utilisateurs être administrateurs sur leurs machines locales :)

MDMarra
la source

+1 Tout ce qui précède =]

Chris S

Il n'y a aucun moyen d'empêcher quelqu'un avec un administrateur local sur une machine d'attribuer une adresse IP déjà utilisée, point. Parce qu'ils possèdent la machine, ils peuvent lui faire dire ce qu'ils veulent. Tout ce que vous pouvez faire est de limiter les dommages - ce qui, si vous utilisez NAC ou similaire, est capable de limiter les dégâts à 0.

mfinni

Vous pouvez exécuter un script à l'aide de la stratégie de groupe pour définir la carte réseau pour utiliser DHCP.

Par exemple: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Il semble qu'il puisse également y avoir une stratégie de groupe pour désactiver les paramètres réseau: Comment désactiver les paramètres Tcp / Ip dans Windows 7 via GPO?

Andy
la source

Essayez d'activer l'espionnage DHCP. Chaque appareil connecté au commutateur devra émettre une demande DHCP et recevoir une réponse valide de votre serveur DHCP de confiance avant de pouvoir utiliser le réseau.

0xFF
la source