none
如何限制clinet不能自行更改DNS RRS feed

  • 問題

  • 各位大大好

    公司有網域,有DHCP server,但有user為了不套用GPO就自行設定DNS

    且DNS可以隨意亂設定都能出外部網路,請問我該如何做才能限制該使用者不能自行設定DNS的選項

    只能使用公司內部自己的DNS SERVER

    clinet為windows 10

    謝謝


    ps:該如何限制user自行設定外部dns

    2016年9月30日 上午 08:24

解答

  • 您好


    1. 針對用戶端不要給administrator權限

    2. 如果可以在您的firewallg設定一條規則 內 -> 外查詢DNS服務只允許你的內部DNS出去,然後用戶端設內部DNS才可以查詢外部網址IP,若自行設定例如168.95.1.1 就無法查到。

    以上可以參考看看

    • 已標示為解答 david_chang_ 2016年10月3日 上午 03:00
    2016年10月2日 上午 12:30
  • 您好,

    就如二位前輩所說的,

    針對用戶端不要給administrator權限

    如果可以在您的firewallg設定一條規則 內

    建議用行政命令或者網路行為管控設備

    或者建立 Proxy 主機以強制納入管理

    這些方式需配合公司政策去落實,人的行為是很難管控的,

    所以,"監控"也是一種選擇;就是使用第三方行為控管機制(Google一下)與公司政策合為一來達成共識.

    日後,有問題爭議產生的話,也可有個依據記錄可供查詢.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 david_chang_ 2016年10月3日 上午 03:00
    2016年10月3日 上午 12:57

所有回覆

  • 您好,

    二種作法提供您參考:

    1.使用行為控管機制

    2.在防火牆設定IP+Mac方式來限制用戶端無法存取Internet

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年9月30日 上午 09:46
  • 感謝大大的回覆

    1.行為控管是指直接對使用者直接命令的方式嗎?

    2.使用防火強+MAC是不讓該user可以對外網路,但我並不是不讓使用者上網,而是他改了外部DNS開機就不會找AD驗證也跳過GPO的管制,

    所以才會尋找是否有可以限制(反白)的方式不讓該使用者自行更改IP,DNS

    以上謝謝

    2016年9月30日 上午 10:01
  • 使用者的電腦是否有加入網域?
    使用者的帳號在那些電腦是否都具有 Administrator 權限?
    如果具有 Administrator 權限,
    即便從 GUI 上阻止修改,還是可以用指令方式修改,
    除非拔掉本機最高及可變更網路設定的權限

    建議用行政命令或者網路行為管控設備,
    或者建立 Proxy 主機以強制納入管理


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年9月30日 上午 11:47
    版主
  • 您好


    1. 針對用戶端不要給administrator權限

    2. 如果可以在您的firewallg設定一條規則 內 -> 外查詢DNS服務只允許你的內部DNS出去,然後用戶端設內部DNS才可以查詢外部網址IP,若自行設定例如168.95.1.1 就無法查到。

    以上可以參考看看

    • 已標示為解答 david_chang_ 2016年10月3日 上午 03:00
    2016年10月2日 上午 12:30
  • 您好,

    就如二位前輩所說的,

    針對用戶端不要給administrator權限

    如果可以在您的firewallg設定一條規則 內

    建議用行政命令或者網路行為管控設備

    或者建立 Proxy 主機以強制納入管理

    這些方式需配合公司政策去落實,人的行為是很難管控的,

    所以,"監控"也是一種選擇;就是使用第三方行為控管機制(Google一下)與公司政策合為一來達成共識.

    日後,有問題爭議產生的話,也可有個依據記錄可供查詢.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 david_chang_ 2016年10月3日 上午 03:00
    2016年10月3日 上午 12:57
  • 謝謝大大的回覆

    使用者的電腦是否有加入網域?              "是"
    使用者的帳號在那些電腦是否都具有 Administrator 權限?               "是"
    如果具有 Administrator 權限,
    即便從 GUI 上阻止修改,還是可以用指令方式修改,
    除非拔掉本機最高及可變更網路設定的權限

    建議用行政命令或者網路行為管控設備,
    或者建立 Proxy 主機以強制納入管理

    "建立了proxy server DNS設定成外部一樣還是可以上外部網路

    謝謝

    2016年10月3日 上午 01:41
  • 感謝大大的回覆

    1. 針對用戶端不要給administrator權限 "administrator權限無法關閉因為使用端有時還是會需要安裝程式,而公司政策是允許的"

    2. 如果可以在您的firewallg設定一條規則 內 -> 外查詢DNS服務只允許你的內部DNS出去,然後用戶端設內部DNS才可以查詢外部網址IP,若自行設定例如168.95.1.1 就無法查到。

    "這條規則是否是要高階的防火牆才會有,一般防火牆並沒有看到有這個服務"

    謝謝

    2016年10月3日 上午 01:48
  • 您好,

    每家的防火牆設定不太一樣,建議您可以詢問防火牆原廠是否可以滿足此需求設定?

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年10月3日 上午 02:18