11
unveränderbare IP-Adresse Win Server 2003
Feste und unveränderbare IP-Adresse bei einem Windows-Server
Hallo liebe Admins,
ich habe eine Frage betreffend eines Rechners, auf dem Windows Server 2003 Standard RC2 läuft.
Zuerst möchte ich beschreiben, warum ich das so haben müsste, wie ich es in meiner Frage am Ende fomuliert habe....
Zum Allgemeinen:
- der Rechner dient nicht als Server für ein Netzwerk,
sondern wird zur Ansteuerung eines Plotters benutzt
- die Plottersoftware läuft nur unter Windows-Server 2003 und
erfordert aus Lizenzgründen eine feste IP-Adresse dieses Rechners.
- die Software läuft nur unter dem Administrator-Account
- Im Netz ist kein DHCP-Server vorhanden
- Die IP-Adresse ist manuell fest eingetragen
- Der Rechner kann nicht ins Internet, was durch Regeln
in der Firewall über IP und MAC festgelegt ist.
So weit, so gut. Da die Software aber nur unter dem Benutzer "Administrator" läuft, muss ich das Passwort natürlich an die betreffenden Mitarbeiter, die den Plotter bedienen sollen, weitergeben. Jetzt war einer so clever und wollte unbedingt von dem Rechner aus ins Internet und hat die IP-Adresse manuell geändert, was zur Folge hatte, dass die Software nicht mehr läuft, da die Lizenz unter einer anderen IP-Adresse nicht funktioniert.
Ein zurückstellen der IP-Adresse auf den vorgegebenen Wert brachte keinen Erfolg, da die Lizenz ungültig wurde, so dass die gesamte Anlage neu installiert werden musste, sprich 1 ganzer Arbeitstag war in den Binsen.
Nach langer Vorrede nun meine Frage:
Gibt es eine Möglichkeit (evtl. durch Ändern eines Schlüssels in der Registry) eine manuelle Änderung der IP-Adresse in den Netzwerkeinstellungen zu unterbinden?
Das heißt, ich möchte (wenn die Kiste wieder läuft) einfach nach Möglichkeit am sinnvollsten die Eigenschaftsseite des Netzwerkprotokolls so unveränderbar dicht haben, dass weder "automatisches Beziehen" auswählbar ist, noch dass man manuell die IP-Adresse eingeben/ändern kann.
Gibt's da eine Möglichkeit?
Vielen Dank im Voraus!
Alberto
Hallo liebe Admins,
ich habe eine Frage betreffend eines Rechners, auf dem Windows Server 2003 Standard RC2 läuft.
Zuerst möchte ich beschreiben, warum ich das so haben müsste, wie ich es in meiner Frage am Ende fomuliert habe....
Zum Allgemeinen:
- der Rechner dient nicht als Server für ein Netzwerk,
sondern wird zur Ansteuerung eines Plotters benutzt
- die Plottersoftware läuft nur unter Windows-Server 2003 und
erfordert aus Lizenzgründen eine feste IP-Adresse dieses Rechners.
- die Software läuft nur unter dem Administrator-Account
- Im Netz ist kein DHCP-Server vorhanden
- Die IP-Adresse ist manuell fest eingetragen
- Der Rechner kann nicht ins Internet, was durch Regeln
in der Firewall über IP und MAC festgelegt ist.
So weit, so gut. Da die Software aber nur unter dem Benutzer "Administrator" läuft, muss ich das Passwort natürlich an die betreffenden Mitarbeiter, die den Plotter bedienen sollen, weitergeben. Jetzt war einer so clever und wollte unbedingt von dem Rechner aus ins Internet und hat die IP-Adresse manuell geändert, was zur Folge hatte, dass die Software nicht mehr läuft, da die Lizenz unter einer anderen IP-Adresse nicht funktioniert.
Ein zurückstellen der IP-Adresse auf den vorgegebenen Wert brachte keinen Erfolg, da die Lizenz ungültig wurde, so dass die gesamte Anlage neu installiert werden musste, sprich 1 ganzer Arbeitstag war in den Binsen.
Nach langer Vorrede nun meine Frage:
Gibt es eine Möglichkeit (evtl. durch Ändern eines Schlüssels in der Registry) eine manuelle Änderung der IP-Adresse in den Netzwerkeinstellungen zu unterbinden?
Das heißt, ich möchte (wenn die Kiste wieder läuft) einfach nach Möglichkeit am sinnvollsten die Eigenschaftsseite des Netzwerkprotokolls so unveränderbar dicht haben, dass weder "automatisches Beziehen" auswählbar ist, noch dass man manuell die IP-Adresse eingeben/ändern kann.
Gibt's da eine Möglichkeit?
Vielen Dank im Voraus!
Alberto
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120878
Url: https://administrator.de/contentid/120878
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
meldet sich der Server an der Domäne an?
Dann könnte man eine GPO dafür schreiben!
Andreas
meldet sich der Server an der Domäne an?
Dann könnte man eine GPO dafür schreiben!
Andreas
Hallo Seardan,
es gibt dort keine Domäne, es sind derzeit nur mehrere Rechner wild zusammengewürfelt mit einem Router verbunden. Alle haben manuell vergebene IP-Adressen, es meldet sich also kein Rechner irgendwo an. Leider...
Im Endeffekt sind es lauter Standalone-Rechner, die nur deshalb mit Netzwerkkabeln verbunden wurden, damit die Drucker von allen genutzt werden können. Ein Netzwerk existiert also im eigentlichen Sinne nicht.
Ich weiß, es ist grausam, aber der Chef dieser Firma wollte das so...
Alberto
es gibt dort keine Domäne, es sind derzeit nur mehrere Rechner wild zusammengewürfelt mit einem Router verbunden. Alle haben manuell vergebene IP-Adressen, es meldet sich also kein Rechner irgendwo an. Leider...
Im Endeffekt sind es lauter Standalone-Rechner, die nur deshalb mit Netzwerkkabeln verbunden wurden, damit die Drucker von allen genutzt werden können. Ein Netzwerk existiert also im eigentlichen Sinne nicht.
Ich weiß, es ist grausam, aber der Chef dieser Firma wollte das so...
Alberto
Hallo,
beste Lösung wär mit Process Explorer von Sysinternal festellen welche Rechte tatsächlich benötigt werden wenn man mit einem Standard User arbeitet.
Ansonsten bleibt noch der Weg über die lokale GPO. Einfach gpedit.msc aufrufen und dem Administrator die Rechte für die Netzwerkverbindungen entziehen.
Als Admin kannst du sie ja bei Bedarf wieder hinzufügen.
Jobbi
beste Lösung wär mit Process Explorer von Sysinternal festellen welche Rechte tatsächlich benötigt werden wenn man mit einem Standard User arbeitet.
Ansonsten bleibt noch der Weg über die lokale GPO. Einfach gpedit.msc aufrufen und dem Administrator die Rechte für die Netzwerkverbindungen entziehen.
Als Admin kannst du sie ja bei Bedarf wieder hinzufügen.
Jobbi
Wie wäre es, die Software in einer VM laufen zu lassen, die man jederzeit in einen definierten Zustand zurück versetzen kann?
Oder du verwendest Software wie Windows SteadyState oder dergleichen (ich hab da leider keine Erfahrung, da können dir hier aber sicher welche Empfohlen werden), die dein System ebenfalls in einen definierten Zustand zurück bringen können.
Soetwas ist eh immer praktisch, wenn an dem System sowieso keine Änderungen durchgeführt werden sollen.
Oder du verwendest Software wie Windows SteadyState oder dergleichen (ich hab da leider keine Erfahrung, da können dir hier aber sicher welche Empfohlen werden), die dein System ebenfalls in einen definierten Zustand zurück bringen können.
Soetwas ist eh immer praktisch, wenn an dem System sowieso keine Änderungen durchgeführt werden sollen.
Hallo Alberto,
na, dann bleibt wohl nur die lokale GPO.
Andreas
na, dann bleibt wohl nur die lokale GPO.
Andreas
Servus,
im Prinzip nein.
Aber und ich wiederhole dieses Angebot leider zu oft - ohne dass es angenommen wird..
Bisher habe ich noch jede Software, die angeblich nur als Admin läuft auch mit DAU User rechten zu laufen gebracht.
Und das ist dann auch die Lösung für dein Problem.
Einem Admin kannst du kaum (ohne einen Bock zu schiessen) verbieten, etwas am Server zu ändern, aber einem User sehr wohl erlauben Regkeys, Ordner usw. zu manipulieren, die "normal" nur der Admin ändern darf.
Gruß
im Prinzip nein.
Aber und ich wiederhole dieses Angebot leider zu oft - ohne dass es angenommen wird..
Bisher habe ich noch jede Software, die angeblich nur als Admin läuft auch mit DAU User rechten zu laufen gebracht.
Und das ist dann auch die Lösung für dein Problem.
Einem Admin kannst du kaum (ohne einen Bock zu schiessen) verbieten, etwas am Server zu ändern, aber einem User sehr wohl erlauben Regkeys, Ordner usw. zu manipulieren, die "normal" nur der Admin ändern darf.
Gruß
Hi !
Das würde ich an Deiner Stelle sofort ändern. Du könntest dann im DHCP-Daemon Reservierungen anlegen, bei denen die Rechner immer die IP zugewiesen bekommen, die Du im Router vorgibst. Ist ein bisschen Arbeit, funktioniert aber einwandfrei und ist die professionellere Lösung.
Für dein Rechteproblem könntest Du mit Process Explorer schauen wo das Programm Adminrechte benötigt und will es gar nicht gelingen könntest Du mal das Tool SURUN anschauen, mit dem kannst Du dem lokalen Benutzer die Adminrechte (auf keinen Fall dem Benutzer Administrator die Rechte entziehen!) entziehen und nur das Programm automatisiert mit Adminrechten starten und anders als bei den Windows Bordmitteln haben Keylogger keine Chance, da Surun alle Eingaben auf einen sicheren Desktop umleitet. Ist ideal für solche Chaosnetzwerke, ich habe damit in solchen verkorksten Umfeldern nur gute Erfahrungen gemacht.
mrtux
Das würde ich an Deiner Stelle sofort ändern. Du könntest dann im DHCP-Daemon Reservierungen anlegen, bei denen die Rechner immer die IP zugewiesen bekommen, die Du im Router vorgibst. Ist ein bisschen Arbeit, funktioniert aber einwandfrei und ist die professionellere Lösung.
Für dein Rechteproblem könntest Du mit Process Explorer schauen wo das Programm Adminrechte benötigt und will es gar nicht gelingen könntest Du mal das Tool SURUN anschauen, mit dem kannst Du dem lokalen Benutzer die Adminrechte (auf keinen Fall dem Benutzer Administrator die Rechte entziehen!) entziehen und nur das Programm automatisiert mit Adminrechten starten und anders als bei den Windows Bordmitteln haben Keylogger keine Chance, da Surun alle Eingaben auf einen sicheren Desktop umleitet. Ist ideal für solche Chaosnetzwerke, ich habe damit in solchen verkorksten Umfeldern nur gute Erfahrungen gemacht.
mrtux
Hallo Timo,
ich habe ja auch Bauchschmerzen bei der Geschichte, aber laut Hersteller der Software (und des Plotters) geht es nicht anders. Das Problem ist, dass ich nicht großartig 'rumprobieren kann, denn sobald der Benutzer oder die IP nicht "stimmt", wird die Lizenz deaktiviert und lässt sich auch nicht mehr so einfach wiederherstellen... Ein leidiges Thema, das ich nicht nachvollziehen kann, da die Software ja nur mit der Hardware zusammen funktioniert, es also keinen Sinn macht mit Raubkopien zu arbeiten...
Ich werde es wohl über die lokale GPO versuchen müssen, finde nur den richtigen Schlüssel nicht... Hat da jemand einen heißen Tip?
Danke!
Alberto
ich habe ja auch Bauchschmerzen bei der Geschichte, aber laut Hersteller der Software (und des Plotters) geht es nicht anders. Das Problem ist, dass ich nicht großartig 'rumprobieren kann, denn sobald der Benutzer oder die IP nicht "stimmt", wird die Lizenz deaktiviert und lässt sich auch nicht mehr so einfach wiederherstellen... Ein leidiges Thema, das ich nicht nachvollziehen kann, da die Software ja nur mit der Hardware zusammen funktioniert, es also keinen Sinn macht mit Raubkopien zu arbeiten...
Ich werde es wohl über die lokale GPO versuchen müssen, finde nur den richtigen Schlüssel nicht... Hat da jemand einen heißen Tip?
Danke!
Alberto
Zitat von @mrtux:
Hi !
könntest dann im DHCP-Daemon Reservierungen anlegen, bei denen
die Rechner immer die IP zugewiesen bekommen, die Du im Router
vorgibst. Ist ein bisschen Arbeit, funktioniert aber einwandfrei und
ist die professionellere Lösung.
Das Problem ist ja, dass ich trotz DHCP die IP-Einstellung als Administrator ändern könnte. Sobald dann die Software gestartet wird ist die Lizenz futsch. Der DHCP kann sowas ja nicht verhindern, das muss ja in dem Umfeld lokal unterbunden werden...Hi !
könntest dann im DHCP-Daemon Reservierungen anlegen, bei denen
die Rechner immer die IP zugewiesen bekommen, die Du im Router
vorgibst. Ist ein bisschen Arbeit, funktioniert aber einwandfrei und
ist die professionellere Lösung.
Ich muss mal zusehen, ob es irgendwie möglich ist das Ding zu virtualisieren um damit gefahrlos 'rumspielen zu können...
Vielen Dank schonmal für die Empfehlung von SURUN, das werde ich mir mal gerne unter die Lupe nehmen.
Alberto
PS: Unglaublich wie schnell und wie viele Beiträge auf meine Frage hier kommen!!!! Herzlichen Dank an alle, die sich der Sache bislang angenommen haben!!!!!
Zitat von @loetkolben:
Ich werde es wohl über die lokale GPO versuchen müssen,
finde nur den richtigen Schlüssel nicht... Hat da jemand einen
heißen Tip?
Ich werde es wohl über die lokale GPO versuchen müssen,
finde nur den richtigen Schlüssel nicht... Hat da jemand einen
heißen Tip?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Adaptername
dort demjenigen welchen die Rechte wegnehmenAber bitte vorher an einer anderen Kiste testen
Danke!
Alberto
Gruß
Hi,
ich würd wenn die kiste wieder läuft ein Image ziehen. Damit kannst du wenn wieder mal so ein spezialist die IP verstellt das ganze System inherhalb kurzer zeit wieder in dern Ausgangszustand zurücksetzen (zeitpunkt des Images).
mfg
n4426
ich würd wenn die kiste wieder läuft ein Image ziehen. Damit kannst du wenn wieder mal so ein spezialist die IP verstellt das ganze System inherhalb kurzer zeit wieder in dern Ausgangszustand zurücksetzen (zeitpunkt des Images).
mfg
n4426
