3 votos

¿Cómo puedo permitir que un usuario limitado cambie la configuración de TCP/IP, manteniendo estrictamente el principio de mínimo privilegio?

En Windows XP o Windows Server 2003:

Tengo un portátil configurado con un software para el escaneo de vulnerabilidad de los sistemas basado en la red. La razón por la que se pone en un portátil en lugar de en un ordenador de sobremesa o en un servidor, es para comprobar los sistemas que normalmente funcionan independientemente de una red, o que están en redes remotas aisladas.

Dado que el propósito principal de este portátil es viajar entre redes, todos los usuarios del sistema necesitarán acceso para cambiar la configuración TCP/IP. Dentro de nuestro departamento, eso no es un problema. De todos modos, todos somos administradores de este sistema por motivos de mantenimiento.

Sin embargo, tenemos previsto prestar este sistema a otros departamentos u organizaciones de vez en cuando. Obviamente, no queremos que estos otros grupos tengan privilegios completos en el sistema si no los necesitan. Hasta donde yo sé, el único privilegio de tipo administrador que deberían necesitar es el de cambiar la dirección IP, la máscara de subred, la puerta de enlace y los servidores DNS.

¿Cómo se puede hacer esto para los usuarios limitados, sin darles más privilegios de los grupos superiores?

2voto

GregD Puntos 7867

De momento no tengo una máquina para probar si un usuario limitado puede hacer doble clic en los scripts preconfigurados. Podrías crear algunos scripts y añadirlos al escritorio de todos los usuarios (para que sean visibles para todos) y utilizar un comando netsh para cada una de las diferentes redes.

¿Supongo que tienes que permitirles entrar manualmente en lugar de dhcp?

Esta idea significaría, por supuesto, que tienes alguna idea de las configuraciones de red de estas diversas redes.

Ejemplos:

netsh int ip set dns name=”Local Area Connection” source=static addr=192.168.1.1

netshint ip set address name=”Local Area Connection” source=dhcp

Editado para añadir:

¿Tiene usted un Grupo de operadores de configuración de red ? Haz que los usuarios locales formen parte de este grupo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: