none
Как разрешить группе "Опытные пользователи" менять IP адреса RRS feed

  • Вопрос

  • Добрый день.

    Комп в домене.

    В доменной политике запрещено изменять IP адреса и другие реквизиты для всех, кроме группы "Администраторы". Я вхожу в группу "администраторы". Моя задача разрешить на локальном компе локальной группе "Опытные пользователи" (ну или другой локальной группе, отличной от Администраторы) изменять эти реквизиты, при этом просто "Пользователи" этих прав иметь не должны.

    Подскажите где и как можно это сделать...

    14 января 2011 г. 9:24

Ответы

Все ответы

  • Добавьте пользователей в локальную группу Network Configuration Operators.
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    • Помечено в качестве ответа Yuriy Lenchenkov 14 января 2011 г. 11:01
    14 января 2011 г. 9:41
    Отвечающий
  • Вообще то странное желание, можно такооой бардак в сети устроить.
    http://www.podgoretsky.com
    14 января 2011 г. 9:59
  • Dmitriy Poberezhniy,

    Большое спасибо.

     

    Описанная задача действительно так решается. Как я только сам не догадался...

    Еще раз спасибо.

     

    Теперь вторая половина:

     

    Есть скрип .vbs который меняет сетевые реквизиты. От администратора он работает, а от опытного пользователя до сих пор нет, Хотя вручную изменения можно внести. Может есть где-нибудь параметр разрешающий запускать скрипты или что то подобное?

     

    Хотя нет, простые скрипты типа показать окошко работают. А нужные (отключить получение адреса от DHCP и прописать его вручную) не работает :(

    14 января 2011 г. 10:02
  • Можно скрипт в студию...
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    14 января 2011 г. 10:19
    Отвечающий
  • strComputer = "."
    Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    Set colNetCards = objWMIService.ExecQuery("Select * From Win32_NetworkAdapterConfiguration " & "Where IPEnabled = True")
    strIPAddress = Array("10.0.0.141")
    strSubnetMask = Array("255.255.255.0")
    strGateway = Array("10.0.0.1")
    strGatewayMetric = Array(1)

    For Each objNetCard in colNetCards
        errEnable = objNetCard.EnableStatic(strIPAddress, strSubnetMask)
        errGateways = objNetCard.SetGateways(strGateway, strGatewaymetric)
    Next

     

    это на отключение DHCP

    и на включение DHCP

     

    strComputer = "."
    Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    Set colNetAdapters = objWMIService.ExecQuery ("Select * from Win32_NetworkAdapterConfiguration " & "where IPEnabled=TRUE")
     
    For Each objNetAdapter In colNetAdapters
        errEnable = objNetAdapter.EnableDHCP()
    Next

     

    оба не работают

    14 января 2011 г. 10:21
  • А не проще вам в DHCP настроить резервирование?
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    14 января 2011 г. 10:39
    Отвечающий
  • нет.

    простите за неполную инфу.

     

    мне нужно чтоб на входе в систему локального пользователя запускался скрип и отключал DHCP и назначал адрес с которым вообще ничего работать не будет (так и надо :) ), при выходе включал DHCP и сеть появлялась и при входе доменного пользователя он мог работать.

    Согласен задача не совсем.. нормальная..

    14 января 2011 г. 10:44
  • Задача поставлена неверно; а уж реализована вообще фантастически. Во-первых, постановка "чтобы запускался скрипт и т.п." - ну люди же не дураки, раз есть права, они всё вернут на место. И всё у них получится. Не так это делается. Во-вторых, Power Users - это же практически администраторы. В голове не укладывается, как можно пользователям выдавать права администратора?
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    14 января 2011 г. 11:50
    Отвечающий
  • Я понимаю что решение не красивое.

     

    Как бы вы решили задачу?

     

    При входе локального пользователя сети быть не должно, при входе доменного пользователя сеть должна быть.

    Подскажите, плз.

    14 января 2011 г. 12:05
  • Скорее всего, и эта задача поставлена неверно.

    1. Для чего вы используете локальные учётные записи, когда есть домен? Это не просто рабочая станция, а кассовый аппарат или станок?

    2. Чем конкретно мешает наличие сети? Машина без сети теряет удалённый контроль и управляемость.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    14 января 2011 г. 12:28
    Отвечающий
  • Это комп для проверки клиентского оборудования для выхода в интернет. при тестировании этого оборудования наличие работающей сети быть не должно.

    В основное время за компьютером работает сотрудник и ему нужна сеть.

    14 января 2011 г. 12:43
  • Допустимо ли человеку, проверяющему оборудование, осознанно вынимать патч-кабель из розетки? В этом случае, вы 100% будете уверены, что сети нет, не нужно изобретать скрипты и проверять (!), исполнились ли они.
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    14 января 2011 г. 12:48
    Отвечающий
  • я не могу быть уверенным, что человек выдернет патчкорд, а под доменной учеткой тестить оборудование не выйдет из-за накладываемых групповых политик. Редактировать политики еще хлопотней чем писать скрипты.

    Как всё-таки при входе-выходе локальных пользователей автоматически вкл/выкл сеть?

    14 января 2011 г. 13:00
  • Логон/Логофф скрипты:

    netsh interface set interface "Local Area Connection " ENABLE
    netsh interface set interface "Local Area Connection " DISABLE

    Чтобы это работало у простых пользователей данного компьютера, gpedit.msc -> User Configuration -> Administrative Templates -> Network -> Network Connections -> Ability to Disable/Enable Network Connections.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    14 января 2011 г. 13:09
    Отвечающий
  • C:\Documents and Settings\Administrator>netsh interface set interface "Local" DISABLEd
    One or more essential parameters not specified
    The syntax supplied for this command is not valid. Check help for the correct syntax.

    Usage set interface [name = ] IfName
                [ [admin = ] ENABLED|DISABLED
                  [connect = ] CONNECTED|DISCONNECTED
                  [newname = ] NewName ]

          Sets interface parameters.

          IfName  - the name of the interface
          admin   - whether the interface should be enabled (non-LAN only ).
          connect - whether to connect the interface (non-LAN only).
          newname - new name for the interface (LAN only).

          Notes:
          - At least one option other than the name must be specified.
          - If connect = CONNECTED is specified, then the interface
            is automatically enabled even if the admin = DISABLED
            option is specified.

    Выходит что не умеет это команда работать с LAN.

     

    Я дальше пробовал Devcon, но от опытного пользователя так и не работает (gpedit.msc -> User Configuration -> Administrative Templates -> Network -> Network Connections -> Ability to Disable/Enable Network Connections - это я сделал). Да и не очень она мне подходит.

     

    Конечно огромное спасибо за помощь...

    17 января 2011 г. 6:45
  • И ваше предположение наталкнуло меня на дальнейшее ознакомление с netsh. В моём случае вопрос лишения работоспособности можно решить путем:

     -  netsh interface ip set address name="Local Area Connection" static 192.168.0.100 255.255.255.0 192.168.0.1 1

    Веднуть работоспособность можно:

     -  netsh interface ip set address name="Local Area Connection" DHCP

     

    Огромное спасибо за помощь!

    17 января 2011 г. 7:28
  • нуда-нуда, точно.

    Брал команду с гугла, тут то же самое обсуждали - http://forum.sysinternals.com/topic9483.html


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    17 января 2011 г. 8:44
    Отвечающий