Evitar que los usuarios administrativos asignen IP estáticas duplicadas a sus estaciones de trabajo

¿Cómo puedo evitar que un usuario que es administrador en su máquina local asigne manualmente una IP a su adaptador de red que está en uso en un servidor? Algunos usuarios han hecho esto, y ha causado problemas de IP duplicados que han eliminado los nodos en grupos en mi organización.

switch local-area-network despe
fuente

¿Qué estás usando para DHCP? Windows? Linux? ¿Algo más? Querrá crear un grupo para DHCP y excluir las IP que está utilizando para sus servidores.

colealtdelete

Tu pregunta no estaba clara, ¿quizás porque el inglés no es tu primer idioma? Lo he editado para que sea un poco más fácil de entender.

MDMarra

@mdcp De ninguna manera. No si los usuarios son administradores locales. Y no si las máquinas ni siquiera están en el dominio, si llego a su oficina con mi propia computadora portátil y la conecto con una IP ya en uso y no está haciendo algo en la capa 2 para evitar daños (como 802.1x, NAC, etc.), luego acabo de eliminar algo más de la red.

mfinni

Realmente me gustaría saber, ¿por qué la gente hace esto?

Richard Terrett

Si sus usuarios configuran direcciones IP fijas en sus máquinas, debe pensar mucho sobre por qué lo están haciendo. En casi todos los casos habrá algún problema subyacente que se debe rectificar. Cuando su red (incluidas cosas como DNS) funciona correctamente, no deberían tener ningún motivo para hacerlo. En otras palabras, ¿qué necesita arreglar para eliminar sus razones y así hacer que esto no sea un problema?

John Gardeniers

Respuestas:

Tenga una subred separada (y preferiblemente una VLAN separada) para sus servidores. Esto prácticamente elimina el problema de la superposición "accidental".
Utilice algún tipo de autenticación NAC o de nivel de puerto y haga que una dirección asignada por DHCP sea un requisito previo de la comprobación de estado.
No permita que sus usuarios sean administradores en sus máquinas locales :)

MDMarra
fuente

+1 Todo lo anterior =]

Chris S

No hay forma de evitar que alguien con administrador local en una máquina asigne una dirección IP ya en uso, punto. Como son dueños de la máquina, pueden hacer que diga lo que quieran. Todo lo que puede hacer es limitar el daño, que, si está usando NAC o similar, es capaz de limitar el daño a 0.

mfinni

Puede ejecutar una secuencia de comandos usando la política de grupo para configurar el adaptador de red para usar DHCP.

Por ejemplo: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Parece que también puede haber una política de grupo para deshabilitar la configuración de red: ¿Cómo deshabilitar la configuración de Tcp / Ip en Windows 7 a través de GPO?

Andy
fuente

Intente habilitar la inspección DHCP. Cada dispositivo conectado al conmutador tendrá que emitir una solicitud DHCP y recibir una respuesta válida de su servidor DHCP de confianza antes de poder usar la red.

0xFF
fuente