作者 主題: 可否透過GPO控制強制修改Gateway IP  (閱讀 15954 次)

0 會員 與 1 訪客 正在閱讀本文。

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 於: 2007-02-13 00:10 »
請教各位前輩:
不知道可否能自行將規則寫入GPO然後套用到Client端.(Client都是WinXP)
例如:強制將特定群組的Gateway 的IP寫成空白或是指定其他的IP,不知可否做到,請各位多多指教.謝謝..

天行者

  • 憂鬱的高中生
  • ***
  • 文章數: 131
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #1 於: 2007-02-13 20:17 »
這可能沒辦法吧!但為何不用 DHCP 來分配 IP 給 Client 呢?

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: 可否透過GPO控制強制修改Gateway IP
« 回覆 #2 於: 2007-02-13 23:47 »
引述: "RayPak"
請教各位前輩:
不知道可否能自行將規則寫入GPO然後套用到Client端.(Client都是WinXP)
例如:強制將特定群組的Gateway 的IP寫成空白或是指定其他的IP,不知可否做到,請各位多多指教.謝謝..


GPO的規則中. 應該是沒有關於IP組態設定的.
如果要做, 小弟會考慮用指令碼來做.

GPO 啟動指令碼 + WSH +WMI 對電腦
GPO 登入指令碼 + WSH +WMI 對使用者

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #3 於: 2007-02-14 08:32 »
引述: "天行者"
這可能沒辦法吧!但為何不用 DHCP 來分配 IP 給 Client 呢?


Client IP 發放是用DHCP方式

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
Re: 可否透過GPO控制強制修改Gateway IP
« 回覆 #4 於: 2007-02-14 08:36 »
引述: "michaelwan"

GPO的規則中. 應該是沒有關於IP組態設定的.
如果要做, 小弟會考慮用指令碼來做.

GPO 啟動指令碼 + WSH +WMI 對電腦
GPO 登入指令碼 + WSH +WMI 對使用者


請教michaelwan,關於指令碼部分有特定關於控制IP取得後將
Gateway拿掉的相關文章可以參考嗎?

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
可否透過GPO控制強制修改Gateway IP
« 回覆 #5 於: 2007-02-14 08:40 »
在 DHCP 中指定不就好了?

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #6 於: 2007-02-14 10:31 »
引述: "twu2"
在 DHCP 中指定不就好了?


小弟不才還只是個菜鳥,請教twu2學長,在DHCP設定中可以讓特定群組可以取得IP後而又把Gateway拿掉的設定是在哪邊設定的,請不吝指教,謝謝

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
可否透過GPO控制強制修改Gateway IP
« 回覆 #7 於: 2007-02-14 11:10 »
不能把取得的又拿掉. 不過可以指定到某個不存在的 ip.
怎麼用? 看你用什麼 dhcp 伺服器, 去研究一下就清楚了.

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #8 於: 2007-02-14 11:21 »
報告twu2學長,目前用的是Windows2003內建的DHCP Server,感謝twu2學長的教導,小弟在研究看看,謝謝...

目的主要是將某些登入AD帳號的Gateway拿掉,有些不要拿掉Gateway(改成其他IP也可以)

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
可否透過GPO控制強制修改Gateway IP
« 回覆 #9 於: 2007-02-14 11:28 »
你的需求是:

防止某些內部主機上網連外?
防止某些內部主機四處流竄?

拿掉設定,如果沒有搭配管理軟體,同時搭配網路管理,只能防君子不防小人~
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #10 於: 2007-02-14 11:44 »
harrier學長您好,小弟主要做法是用群組原則將內部人員帳號的權限給到最小,不能安裝軟體,只能執行特定程式,光碟機與外接式設備皆無法使用,上網部分老闆,主管與特定人員的帳號才能上網(收發Eamil,上Internet..等),其餘都不能上,因公司小,老闆怕資料被人摳走,而老闆又不想花錢只能想到這種陽春處理法....

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
可否透過GPO控制強制修改Gateway IP
« 回覆 #11 於: 2007-02-14 13:56 »
引述: "RayPak"
harrier學長您好,小弟主要做法是用群組原則將內部人員帳號的權限給到最小,不能安裝軟體,只能執行特定程式,光碟機與外接式設備皆無法使用,上網部分老闆,主管與特定人員的帳號才能上網(收發Eamil,上Internet..等),其餘都不能上,因公司小,老闆怕資料被人摳走,而老闆又不想花錢只能想到這種陽春處理法....


嗯嗯,有現成的 Firewall 嗎?
現在的應該都可以鎖 mac address 了,限制只有特定 mac 才能上網就好了~
或是透過 Linux w/ iptables w/ squid w/ CBQ 一樣可以達到很好的管理效果(但是要會設定)~
以上兩個方案都不花大錢,也不需要用到群組原則喔~
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

湯姆貓

  • 活潑的大學生
  • ***
  • 文章數: 475
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #12 於: 2007-02-14 13:56 »
引述: "RayPak"
因公司小,老闆怕資料被人摳走,而老闆又不想花錢只能想到這種陽春處理法....


那......如果資料還是被拷走.......
你要負責??
建議你看一下,
http://phorum.study-area.org/viewtopic.php?t=32878
這兒的前輩都一直強調,好的MIS應該要怎麼做......
你應該要先把所有評估做完,
然後再向老闆報告.....
而不是一說要做,
就跟老闆說要錢.....

沒錢有沒錢的做法,有錢有有錢的做法.....
但如果不用花錢就可以做到企業級的安全防護,
那.......這些做資訊安全的大公司不就都準備收灘了~~~

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #13 於: 2007-02-14 14:46 »
引述: "湯姆貓"

那......如果資料還是被拷走.......
你要負責??
建議你看一下,
http://phorum.study-area.org/viewtopic.php?t=32878
這兒的前輩都一直強調,好的MIS應該要怎麼做......
你應該要先把所有評估做完,
然後再向老闆報告.....
而不是一說要做,
就跟老闆說要錢.....

沒錢有沒錢的做法,有錢有有錢的做法.....
但如果不用花錢就可以做到企業級的安全防護,
那.......這些做資訊安全的大公司不就都準備收灘了~~~


我只能說世事豈能盡如人意,但求問心無愧.不是每個老闆都能理解mis的工作也並不是評估的報告就會想聽,聽到這些評估報告只會讓他更煩他也不想聽,老闆也只想知道他的提出的要求能不能做到,至於錢,老實說沒錢能做啥,有預算的話就算我不會做,我也能找SI來協助....
我只能盡我所能所知,畢竟我是領人家的薪水,就是要幫人做事..

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #14 於: 2007-02-14 14:49 »
引述: "harrier"

嗯嗯,有現成的 Firewall 嗎?
現在的應該都可以鎖 mac address 了,限制只有特定 mac 才能上網就好了~
或是透過 Linux w/ iptables w/ squid w/ CBQ 一樣可以達到很好的管理效果(但是要會設定)~
以上兩個方案都不花大錢,也不需要用到群組原則喔~


Firewall...不准買..只能買IP分享器..便宜的那種...
用Linux,想用,有提議...但..只能用Windows...

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #15 於: 2007-02-14 15:10 »
God bless you.
多見者博,多聞者智,拒諫者塞,專己者孤

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
可否透過GPO控制強制修改Gateway IP
« 回覆 #16 於: 2007-02-14 15:26 »
引述: "RayPak"
引述: "harrier"

嗯嗯,有現成的 Firewall 嗎?
現在的應該都可以鎖 mac address 了,限制只有特定 mac 才能上網就好了~
或是透過 Linux w/ iptables w/ squid w/ CBQ 一樣可以達到很好的管理效果(但是要會設定)~
以上兩個方案都不花大錢,也不需要用到群組原則喔~

Firewall...不准買..只能買IP分享器..便宜的那種...
用Linux,想用,有提議...但..只能用Windows...


可,便宜的:
http://www.dlinktw.com.tw/product_view.asp?subMenuCode=&sno=CFNGNF

有 MAC 過濾..供參考~

當然完全不能和企業級相提並論(花大錢)~
也不能和精心打造的 Linux 火牆相較(花時間)~

不過,合乎你目前的需求了。(省錢省時又方便,出錢的老闆容易懂)

NT$11xx 不到~
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

RayPak

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #17 於: 2007-02-14 15:43 »
感謝harrier學長您的指教..謝謝您

Overcertified

  • 鑽研的研究生
  • *****
  • 文章數: 555
    • 檢視個人資料
    • http://www.itpro.tw
可否透過GPO控制強制修改Gateway IP
« 回覆 #18 於: 2007-02-14 16:31 »
我覺得harrier的意見很好,我另外提一個方向你也可以參考看看,
(1)首先如果貴公司的人數不多的情況下,可以不需要使用DHCP服務,你可以做一張 List 可以命名為IP 使用表,表格裡面紀錄(Computer Name , IP Address , Mac , 使用者,租用日期,用途..)然後透過人工的方式來管理 IP Address 。

(2)不准許使用者安裝軟體,和一些網路方面的修改,其實你只要不要給予使用者本機管理員的權限,這樣使用者自然就沒辦法任意安裝軟體,以這樣的邏輯下去思考其時根本不需要有AD的存在,你導入了AD只是加重管理上面的負擔。

(3)關於GW的問題,我覺得藉由不給使用者Default GW來阻止使用者存取Internet 是一個很不好的作法,其實你只要按照我上面的作法,將允許上網的使用者IP先歸類好例如 192.168.10.2-192.168.10.10 這幾個,然後在IP分享器裡面只允許這幾個IP可以存取Internet,這樣不是既省時也省力嗎 8)
我的學習筆記 http://www.itpro.tw/blog
EveryBody Splunk ~~ ^_^

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: 可否透過GPO控制強制修改Gateway IP
« 回覆 #19 於: 2007-02-14 23:51 »
引述: "RayPak"
引述: "michaelwan"

GPO的規則中. 應該是沒有關於IP組態設定的.
如果要做, 小弟會考慮用指令碼來做.

GPO 啟動指令碼 + WSH +WMI 對電腦
GPO 登入指令碼 + WSH +WMI 對使用者


請教michaelwan,關於指令碼部分有特定關於控制IP取得後將
Gateway拿掉的相關文章可以參考嗎?

代碼: [選擇]
On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colNetCards = objWMIService.ExecQuery _
    ("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True")
For Each objNetCard in colNetCards
    arrGateways = Array("10.10.20.254")
    objNetCard.SetGateways(arrGateways)
Next

程式是抄script center的.
10.10.20.254是小弟隨便指的gateway.
將code存成 xxxx.vbs 丟到登入指令檔.
小弟只是在自己電腦試過. 你可以先在本機或是開個測試的OU來試試.OK再說.
當然,不是一個好方法. 能用設備來做,才是正確的做法.

jonathan_lwo

  • 活潑的大學生
  • ***
  • 文章數: 320
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #20 於: 2007-02-22 23:45 »
我也在本機測試,如果是改gateway 的話,
這段script 是可以改耶

但如果我想要把user 的ip 、mask 也做改變的話,有沒有例子參考
想用GPO派給大量的user,做的到嗎?

像下在二個檔,gpo派送,user 手動按yes,
但問題是這樣做大家的ip設定都變成一樣的…


file 1:  
a.bat 內容:
代碼: [選擇]

netsh -f \\server\test.txt



file 2:
test.txt 檔案內容:
代碼: [選擇]

# ----------------------------------
# 介面 IP 設定        
# ----------------------------------
pushd interface ip


# "區域連線" 的介面 IP 設定

set address name="區域連線" source=static addr=172.16.22.200 mask=255.255.0.0
set address name="區域連線" gateway=172.16.22.254 gwmetric=0
set dns name="區域連線" source=static addr=168.95.1.1 register=PRIMARY
set wins name="區域連線" source=static addr=none


popd
# 介面 IP 設定結束



☆因目前user 的ip都是static ip,而我要切vlan的話 ,那所有user ip都要改變,不知有沒有好的方法...

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
可否透過GPO控制強制修改Gateway IP
« 回覆 #21 於: 2007-02-24 00:43 »
引述: "jonathan_lwo"
我也在本機測試,如果是改gateway 的話,
這段script 是可以改耶

但如果我想要把user 的ip 、mask 也做改變的話,有沒有例子參考
想用GPO派給大量的user,做的到嗎?

像下在二個檔,gpo派送,user 手動按yes,
但問題是這樣做大家的ip設定都變成一樣的…


file 1:  
a.bat 內容:
代碼: [選擇]

netsh -f \\server\test.txt



file 2:
test.txt 檔案內容:
代碼: [選擇]

# ----------------------------------
# 介面 IP 設定        
# ----------------------------------
pushd interface ip


# "區域連線" 的介面 IP 設定

set address name="區域連線" source=static addr=172.16.22.200 mask=255.255.0.0
set address name="區域連線" gateway=172.16.22.254 gwmetric=0
set dns name="區域連線" source=static addr=168.95.1.1 register=PRIMARY
set wins name="區域連線" source=static addr=none


popd
# 介面 IP 設定結束



☆因目前user 的ip都是static ip,而我要切vlan的話 ,那所有user ip都要改變,不知有沒有好的方法...


可以試試用EXCEL先記錄電腦名稱與給定的IP位址.
匯出CVS後, 寫個小WHS讀入CVS, 判斷目前電腦名稱然後給IP位址.
然後把WHS放在GPO的開機指令檔, 讓電腦一開機就去執行.