unveränderbare IP-Adresse Win Server 2003
Feste und unveränderbare IP-Adresse bei einem Windows-Server
Hallo liebe Admins,
ich habe eine Frage betreffend eines Rechners, auf dem Windows Server 2003 Standard RC2 läuft.
Zuerst möchte ich beschreiben, warum ich das so haben müsste, wie ich es in meiner Frage am Ende fomuliert habe....
Zum Allgemeinen:
- der Rechner dient nicht als Server für ein Netzwerk,
sondern wird zur Ansteuerung eines Plotters benutzt
- die Plottersoftware läuft nur unter Windows-Server 2003 und
erfordert aus Lizenzgründen eine feste IP-Adresse dieses Rechners.
- die Software läuft nur unter dem Administrator-Account
- Im Netz ist kein DHCP-Server vorhanden
- Die IP-Adresse ist manuell fest eingetragen
- Der Rechner kann nicht ins Internet, was durch Regeln
in der Firewall über IP und MAC festgelegt ist.
So weit, so gut. Da die Software aber nur unter dem Benutzer "Administrator" läuft, muss ich das Passwort natürlich an die betreffenden Mitarbeiter, die den Plotter bedienen sollen, weitergeben. Jetzt war einer so clever und wollte unbedingt von dem Rechner aus ins Internet und hat die IP-Adresse manuell geändert, was zur Folge hatte, dass die Software nicht mehr läuft, da die Lizenz unter einer anderen IP-Adresse nicht funktioniert.
Ein zurückstellen der IP-Adresse auf den vorgegebenen Wert brachte keinen Erfolg, da die Lizenz ungültig wurde, so dass die gesamte Anlage neu installiert werden musste, sprich 1 ganzer Arbeitstag war in den Binsen.
Nach langer Vorrede nun meine Frage:
Gibt es eine Möglichkeit (evtl. durch Ändern eines Schlüssels in der Registry) eine manuelle Änderung der IP-Adresse in den Netzwerkeinstellungen zu unterbinden?
Das heißt, ich möchte (wenn die Kiste wieder läuft) einfach nach Möglichkeit am sinnvollsten die Eigenschaftsseite des Netzwerkprotokolls so unveränderbar dicht haben, dass weder "automatisches Beziehen" auswählbar ist, noch dass man manuell die IP-Adresse eingeben/ändern kann.
Gibt's da eine Möglichkeit?
Vielen Dank im Voraus!
Alberto
Hallo liebe Admins,
ich habe eine Frage betreffend eines Rechners, auf dem Windows Server 2003 Standard RC2 läuft.
Zuerst möchte ich beschreiben, warum ich das so haben müsste, wie ich es in meiner Frage am Ende fomuliert habe....
Zum Allgemeinen:
- der Rechner dient nicht als Server für ein Netzwerk,
sondern wird zur Ansteuerung eines Plotters benutzt
- die Plottersoftware läuft nur unter Windows-Server 2003 und
erfordert aus Lizenzgründen eine feste IP-Adresse dieses Rechners.
- die Software läuft nur unter dem Administrator-Account
- Im Netz ist kein DHCP-Server vorhanden
- Die IP-Adresse ist manuell fest eingetragen
- Der Rechner kann nicht ins Internet, was durch Regeln
in der Firewall über IP und MAC festgelegt ist.
So weit, so gut. Da die Software aber nur unter dem Benutzer "Administrator" läuft, muss ich das Passwort natürlich an die betreffenden Mitarbeiter, die den Plotter bedienen sollen, weitergeben. Jetzt war einer so clever und wollte unbedingt von dem Rechner aus ins Internet und hat die IP-Adresse manuell geändert, was zur Folge hatte, dass die Software nicht mehr läuft, da die Lizenz unter einer anderen IP-Adresse nicht funktioniert.
Ein zurückstellen der IP-Adresse auf den vorgegebenen Wert brachte keinen Erfolg, da die Lizenz ungültig wurde, so dass die gesamte Anlage neu installiert werden musste, sprich 1 ganzer Arbeitstag war in den Binsen.
Nach langer Vorrede nun meine Frage:
Gibt es eine Möglichkeit (evtl. durch Ändern eines Schlüssels in der Registry) eine manuelle Änderung der IP-Adresse in den Netzwerkeinstellungen zu unterbinden?
Das heißt, ich möchte (wenn die Kiste wieder läuft) einfach nach Möglichkeit am sinnvollsten die Eigenschaftsseite des Netzwerkprotokolls so unveränderbar dicht haben, dass weder "automatisches Beziehen" auswählbar ist, noch dass man manuell die IP-Adresse eingeben/ändern kann.
Gibt's da eine Möglichkeit?
Vielen Dank im Voraus!
Alberto
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120878
Url: https://administrator.de/contentid/120878
Ausgedruckt am: 14.11.2024 um 03:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
beste Lösung wär mit Process Explorer von Sysinternal festellen welche Rechte tatsächlich benötigt werden wenn man mit einem Standard User arbeitet.
Ansonsten bleibt noch der Weg über die lokale GPO. Einfach gpedit.msc aufrufen und dem Administrator die Rechte für die Netzwerkverbindungen entziehen.
Als Admin kannst du sie ja bei Bedarf wieder hinzufügen.
Jobbi
beste Lösung wär mit Process Explorer von Sysinternal festellen welche Rechte tatsächlich benötigt werden wenn man mit einem Standard User arbeitet.
Ansonsten bleibt noch der Weg über die lokale GPO. Einfach gpedit.msc aufrufen und dem Administrator die Rechte für die Netzwerkverbindungen entziehen.
Als Admin kannst du sie ja bei Bedarf wieder hinzufügen.
Jobbi
Wie wäre es, die Software in einer VM laufen zu lassen, die man jederzeit in einen definierten Zustand zurück versetzen kann?
Oder du verwendest Software wie Windows SteadyState oder dergleichen (ich hab da leider keine Erfahrung, da können dir hier aber sicher welche Empfohlen werden), die dein System ebenfalls in einen definierten Zustand zurück bringen können.
Soetwas ist eh immer praktisch, wenn an dem System sowieso keine Änderungen durchgeführt werden sollen.
Oder du verwendest Software wie Windows SteadyState oder dergleichen (ich hab da leider keine Erfahrung, da können dir hier aber sicher welche Empfohlen werden), die dein System ebenfalls in einen definierten Zustand zurück bringen können.
Soetwas ist eh immer praktisch, wenn an dem System sowieso keine Änderungen durchgeführt werden sollen.
Servus,
im Prinzip nein.
Aber und ich wiederhole dieses Angebot leider zu oft - ohne dass es angenommen wird..
Bisher habe ich noch jede Software, die angeblich nur als Admin läuft auch mit DAU User rechten zu laufen gebracht.
Und das ist dann auch die Lösung für dein Problem.
Einem Admin kannst du kaum (ohne einen Bock zu schiessen) verbieten, etwas am Server zu ändern, aber einem User sehr wohl erlauben Regkeys, Ordner usw. zu manipulieren, die "normal" nur der Admin ändern darf.
Gruß
im Prinzip nein.
Aber und ich wiederhole dieses Angebot leider zu oft - ohne dass es angenommen wird..
Bisher habe ich noch jede Software, die angeblich nur als Admin läuft auch mit DAU User rechten zu laufen gebracht.
Und das ist dann auch die Lösung für dein Problem.
Einem Admin kannst du kaum (ohne einen Bock zu schiessen) verbieten, etwas am Server zu ändern, aber einem User sehr wohl erlauben Regkeys, Ordner usw. zu manipulieren, die "normal" nur der Admin ändern darf.
Gruß
Hi !
Das würde ich an Deiner Stelle sofort ändern. Du könntest dann im DHCP-Daemon Reservierungen anlegen, bei denen die Rechner immer die IP zugewiesen bekommen, die Du im Router vorgibst. Ist ein bisschen Arbeit, funktioniert aber einwandfrei und ist die professionellere Lösung.
Für dein Rechteproblem könntest Du mit Process Explorer schauen wo das Programm Adminrechte benötigt und will es gar nicht gelingen könntest Du mal das Tool SURUN anschauen, mit dem kannst Du dem lokalen Benutzer die Adminrechte (auf keinen Fall dem Benutzer Administrator die Rechte entziehen!) entziehen und nur das Programm automatisiert mit Adminrechten starten und anders als bei den Windows Bordmitteln haben Keylogger keine Chance, da Surun alle Eingaben auf einen sicheren Desktop umleitet. Ist ideal für solche Chaosnetzwerke, ich habe damit in solchen verkorksten Umfeldern nur gute Erfahrungen gemacht.
mrtux
Das würde ich an Deiner Stelle sofort ändern. Du könntest dann im DHCP-Daemon Reservierungen anlegen, bei denen die Rechner immer die IP zugewiesen bekommen, die Du im Router vorgibst. Ist ein bisschen Arbeit, funktioniert aber einwandfrei und ist die professionellere Lösung.
Für dein Rechteproblem könntest Du mit Process Explorer schauen wo das Programm Adminrechte benötigt und will es gar nicht gelingen könntest Du mal das Tool SURUN anschauen, mit dem kannst Du dem lokalen Benutzer die Adminrechte (auf keinen Fall dem Benutzer Administrator die Rechte entziehen!) entziehen und nur das Programm automatisiert mit Adminrechten starten und anders als bei den Windows Bordmitteln haben Keylogger keine Chance, da Surun alle Eingaben auf einen sicheren Desktop umleitet. Ist ideal für solche Chaosnetzwerke, ich habe damit in solchen verkorksten Umfeldern nur gute Erfahrungen gemacht.
mrtux
Zitat von @loetkolben:
Ich werde es wohl über die lokale GPO versuchen müssen,
finde nur den richtigen Schlüssel nicht... Hat da jemand einen
heißen Tip?
Ich werde es wohl über die lokale GPO versuchen müssen,
finde nur den richtigen Schlüssel nicht... Hat da jemand einen
heißen Tip?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Adaptername
dort demjenigen welchen die Rechte wegnehmenAber bitte vorher an einer anderen Kiste testen
Danke!
Alberto
Gruß