IP-Adresse des PDC verhindern?

[Fresh0razoR 10]

Hallo zusammen,

 

ich habe ein kleines Problem in unserem Netz. Wir haben ein paar Entwickler die für Ihre Entwicklung Admin-Rechte brauchen auf ihrem Rechner.

Dagegen habe ich ja nichts, aber mir kam folgender Gedanke: Durch die Admin-Rechte kann die IP-Adresse ja manuell gesetzt werden.

Was mache ich jetzt, wenn einer der schlauen Entwickler seinem Rechner einfach mal die IP-Adresse vom Domain-Controller gibt? Dann kann sich

ja kein User mehr dort anmelden und das Chaos bricht aus.

Wir haben momentan Server 2003, planen auf 2008 R2 umzusteigen (sehr bald).

 

Gibt es eine Möglichkeit das evtl. zu verhindern?

 

Danke!

Grüße

Fresh

[Dr.Melzer 191]

Wie willst du einen Admin an irgendetwas hindern?

[NilsK 2.934]

Moin,

 

du hast gerade einen der Gründe benannt, warum man ein Entwickler-Netz vom Produktionsnetz trennen sollte.

 

Gruß, Nils

[Fresh0razoR 10]

hmm. problem ist, dass die geschäftsführung möchte, dass die entwickler auf unsere systeme zugreifen können. das wird aber schwierig im subnetz. d.h. es ist faktisch unmöglich, die ip-adresse im netz zu blocken und dafür zu sorgen, dass in jedem fall der pdc die wichtigste ip-adresse behält?

[testperson 1.677]

Hey,

 

lass dir doch vom Geschäftsführer absegnen, dass die Entwickler sich nur der IPs im Bereich 192.168.x.y - 192.168.x.z bedienen dürfen.

[lefg 276]

Ich sehe keine einfache, sicher getestete Möglichkeit, den Entwicklern den Zugriff zu verweigern auf die Netzwerkeinstellungen; das wäre aber ein Gedankenansatz.

 

Ich sage es mal so, es gibt keine "Admin-Rechte".

 

Ein Admin hat nur die Berechtigung auf so ziemlich alle Objekte Aufgrund seiner Zugehörigkeit zur Gruppe der Administratoren und/oder zusätzlich einzeln erteilter oder genommener Berchtiguung auf Objekte. Die Berchtigungen stehen in den Access Contol Lists der Objekte.

 

Nach Installation eines Buchhaltungsprogramms zu Schulungszwecken kam der Dozent, er und die Studenten bräuchten Admin-Rechte, sonst funktionie das nicht. "Admin-Rechte", sowas kam von einem EDV-Dozenten. Nun, was wurde benötigt, ganz einfach Vollzugriff auf das Installationsverzeichnis und gut war es.

 

Ich frage mal so, wozu brauchen die Entwickler "Admin-Rechte"? Worauf brauchen Entwickler Berechtigung zum Zugriff, auf Verzeichnisse, auf Registries?

[NilsK 2.934]

Moin,

 

Ich sage es mal so, es gibt keine "Admin-Rechte".

[...]

Ich frage mal so, wozu brauchen die Entwickler "Admin-Rechte"? Worauf brauchen Entwickler Berechtigung zum Zugriff, auf Verzeichnisse, auf Registries?

 

fast alle Entwickler brauchen Admin-Rechte, weil die meisten Windows-IDEs nicht ohne laufen. Das hängt u.a. mit dem Debug-Recht zusammen, aber natürlich auch mit der Notwendigkeit, im System DLLs, COM-Vernüpfungen usw. zu verankern.

 

Gruß, Nils

[lefg 276]

Ein anderer Ansatz wäre, eine Sicherheitsgruppe zu schaffen, der die Berechtigung auf die benötigten Objekte zu erteilen.

 

Ist es überhaupt zwingend notwendig, dass der Rechner eine feste IP hat?

 

Ein weiterer Ansatz wäre eine organisatoriche Lösung, eine aktenkundige Belehrung.

[blub 115]

Hi,

Ein lokaler Admin kann auf vielfältige Art ein Netzwerk lahmlegen. Die IP-Adresse des PDCs lokal fest zu verdrahten, ist nur eine davon, noch dazu eine relativ unwahrscheinliche und durch getrennte Netze leicht vermeidbare.

Entwicklungsumgebung und Produktionsumgebung solltet ihr daher -wie schon beschrieben - voneinander trennen.

 

blub

 

PS: @Fresh0razoR, bitte benutze weiterhin die Groß- und Kleinschreibung!