Restrizione blocco proprietà TCP/IP

[Piccolospazio]

Salve,
La mia richiesta è un pò particolare e non so se realmente fattibile.
Su un pc con Windows XP Professional, avrei l'esigenza di bloccare l'accesso alle proprietà del tcp/ip per evitare ad esempio che venga cambiato manualmente l'indirizzo ip della lan.
La soluzione la conosco, basta impostare sui criteri di gruppo la voce "proibisci l'accesso alle proprietà di una connessione lan" ed impostare l'account con restrizioni, ad esempio di tipo poweruser.
Il problema è che ho la necessità di fornire un accesso come utente administrator, quindi con tutte le capacità dell'amministratore ma con la sola restrizione del blocco proprietà TCP/IP, ossia senza che questo possa cambiare l'ip impostato, è possibile fare una cosa del genere?
Vi ringrazio per l'eventuale risposta.

[jstef]

Quote:

Originariamente inviato da Piccolospazio

Salve,
La mia richiesta è un pò particolare e non so se realmente fattibile.
Su un pc con Windows XP Professional, avrei l'esigenza di bloccare l'accesso alle proprietà del tcp/ip per evitare ad esempio che venga cambiato manualmente l'indirizzo ip della lan.
La soluzione la conosco, basta impostare sui criteri di gruppo la voce "proibisci l'accesso alle proprietà di una connessione lan" ed impostare l'account con restrizioni, ad esempio di tipo poweruser.
Il problema è che ho la necessità di fornire un accesso come utente administrator, quindi con tutte le capacità dell'amministratore ma con la sola restrizione del blocco proprietà TCP/IP, ossia senza che questo possa cambiare l'ip impostato, è possibile fare una cosa del genere?
Vi ringrazio per l'eventuale risposta.

Non puoi invece creare un utente apposta, metterlo nel gruppo locale administrators e poi negargli espressamente quei privilegi aggiungendo l'utente alla policy?

Ma parli di criteri di gruppo perché è in un dominio?

[Piccolospazio]

Quote:

Originariamente inviato da jstef

Non puoi invece creare un utente apposta, metterlo nel gruppo locale administrators e poi negargli espressamente quei privilegi aggiungendo l'utente alla policy?

Ma parli di criteri di gruppo perché è in un dominio?

Il pc viene utilizzato da una sola persona e al momento c'è l'utente amministratore (quello visibile in modalità provvisoria oppure visibile se l'utente pippo viene impostato in poweruser) e l'utente pippo (sempre amministratore) predefinito, cioè quello con cui si accede in automatico dopo l'avvio di windows.
Il pc non è in un dominio, è in rete solo con altri 3 pc.
Non so se ho capito bene il tuo consiglio...tu dici di creare un utente mettendolo nel gruppo administrators e rimuovere (solo per questo utente) il privilegio della modifica del protocollo tcp/ip.
L'utente pippo al momento fa parte del gruppo administrators, come posso fare per inibire quella funzione che chiedevo sopra lasciando inalterate tutte le altre?
L'unica cosa che ho provato a fare è questa:
gpedit.msc > Configurazione utente > Modelli amministrativi > Rete > Connessioni di rete > ed ho disabilitato le varie voci tipo "Proibisci l'accesso alle proprietà di una connessione lan" e quello della configurazione avanzata del tcp, solo che, come dicevo prima, queste vengono applicate su tipologie di utenti diversa dall'administrators, infatti se l'utente Pippo lo metto nel gruppo powerusers tutto funziona...però con poweruser vengono inibite alcune funzioni (tipo le richieste del firewall di windows) ed altre che possono risultare importanti per l'utente pippo.

[jstef]

Intendevo i criteri di protezione locali che trovi sotto control panel/administration tools. Ma forse una soluzione più spiccia potrebbe essere intervenire sul registro, immagino a partire da HKLM\system\currentcontrolset\services\tcpip, e lavorare con le autorizzazioni su quelle chiavi, negando il diritto di change all'utente pippo
Oppure affronti il problema alla rovescia, lo lasci nei power users e gli assegni i privilegi extra che servono

[Piccolospazio]

Quote:

Originariamente inviato da jstef

Intendevo i criteri di protezione locali che trovi sotto control panel/administration tools. Ma forse una soluzione più spiccia potrebbe essere intervenire sul registro, immagino a partire da HKLM\system\currentcontrolset\services\tcpip, e lavorare con le autorizzazioni su quelle chiavi, negando il diritto di change all'utente pippo
Oppure affronti il problema alla rovescia, lo lasci nei power users e gli assegni i privilegi extra che servono

L'ultima soluzione l'avevo provata ma con esito negativo...
Prendendo in considerazione la via del registro, quale stringa dovrei inserire o modificare per negare all'utente pippo la modifica delle impostazioni?

[jstef]

Quote:

Originariamente inviato da Piccolospazio

Prendendo in considerazione la via del registro, quale stringa dovrei inserire o modificare per negare all'utente pippo la modifica delle impostazioni?

Nessuna, assegni le autorizzazioni sulla chiave di registro proprio come si fa con le cartelle del filesystem (tasto destro, autorizzazioni)
In questo modo decidi chi può modificare o meno le chiavi di registry

[Piccolospazio]

Quote:

Originariamente inviato da jstef

Nessuna, assegni le autorizzazioni sulla chiave di registro proprio come si fa con le cartelle del filesystem (tasto destro, autorizzazioni)
In questo modo decidi chi può modificare o meno le chiavi di registry

Fantastico! appena provato, funziona benissimo ed è ancora più sicuro
Ti ringrazio tantissimo..sei un grande

[jstef]