Existe alguma maneira de não permitir que os usuários configurem estaticamente um endereço IP em suas máquinas?
Temos muitos servidores com endereços IP estáticos e também um servidor DHCP. Tenho medo de permitir que os usuários definam um endereço IP estático em suas máquinas e, eventualmente, obtenham um endereço IP do servidor por engano.
Sei que podemos criar uma regra no Active Directory que bloqueia as alterações nas interfaces de rede ou cria logins sem direitos administrativos. mas todas essas soluções podem ser ignoradas. Eu quero alguma regra do servidor que apenas o nosso administrador de rede tenha acesso.
Solução alternativa: coloque seus usuários e seus servidores em sub-redes separadas. Uma rápida VLAN e a alteração do roteador devem fazê-lo funcionar. Então, os usuários não conseguiram obter o endereço IP de um servidor, porque estão na conexão física "errada" para poder fazer isso.
Você pode delegar apenas os privilégios de "administrador" que esses usuários precisam (criar um novo grupo do AD e usar a diretiva de grupo para (por exemplo) permitir que eles instalem o software, mas não modifiquem as configurações de rede). Isso depende, é claro, do que eles "precisam" dos direitos de administrador por não serem estúpidos e exigirem que eles sejam membros do grupo Administrators ...
Esta solução também tem a vantagem de aplicar o Princípio de privilégio mínimo - Do que eu posso tirar da sua pergunta e seus comentários, isso é algo que você deve estar trabalhando para aplicar em toda a sua organização, pois seus desenvolvedores parecem estar passando por cima da política sensata e da estabilidade do ambiente.
Alterar as configurações de rede é o problema dos hoje . O problema de Amanhã será outra coisa que um usuário sem noção infringe ao usar indevidamente seus direitos de administrador. Como Sam apontou nos comentários, você realmente precisa lidar com o problema subjacente (usuários não confiáveis recebendo direitos administrativos) para manter o controle de seu ambiente.
Rafael, eu recomendaria uma abordagem em duas frentes a esse problema.
Como Chris S. afirmou, definitivamente valeria a pena colocar seus usuários e seus servidores em sub-redes separadas. Você também pode colocar impressoras de rede IP estáticas nessa sub-rede do servidor ou em sua própria sub-rede. É um pequeno esforço com uma grande recompensa em segurança, organização e gerenciamento.
Em segundo lugar, peço desculpas por trazer os privilégios de administrador local novamente, mas acredito que há uma solução que funcionará para você. O Kit de ferramentas de compatibilidade de aplicativos da Microsoft foi criado para esse tipo de problema, e trouxe algumas melhorias impressionantes para os clientes do Windows 7. Você já tentou isso? Em suma, o que ele faz é detectar quais permissões seu aplicativo precisa (sejam direitos de administrador ou chaves de registro restritas) e, em seguida, criar um "shim" para fazer o aplicativo funcionar quando executado sob uma conta de usuário limitada. Quando executado como um usuário limitado, o shim eleva os direitos para esse aplicativo específico e não para toda a sessão do usuário. Isso liberaria você para remover esses privilégios administrativos inconvenientes e, assim, evitar o problema estático / DHCP.
Tente e boa sorte!