es sollte NIE jemand als admin an einem rechner arbeiten, wenn er nicht gerade administrative arbeiten erledigt und selbst dannbraucht man sich nicht immer mit einem adminaccount anmelden, dafür gibt es z.b. unter win2000 den dienst "Anmelden als...".
was du jetzt mit dem verteilen der adressen meinst kann ich nur raten (DHCP) dies hat aber nichts mit windows-netzwerk zu tun. hier noch einmal ein vereinfachter abriß:
die verwaltungsrechner in eine arbeitsgruppe/domäne packen, geschlossene benutzergruppe erstellen für die rechner, anonyme anmeldungen verbieten, wenn möglich an eigenen switch hängen.
die surfstationen nicht ins windowsnetzwerk integrieren, user nur mittels eingeschränkten accounts die anmeldung erlauben, floppy sichern, bios sichern und bootreihenfolge auf nur C, boot from usb deaktivieren, bios-paaword aktivieren, herunterfahren verbieten. richtlinien aufbauen, einloggzeiten setzen, mit dem IEAK den rechner in den kiosk-mode schalten (im ressourcekit zu finden), eventuell mal überlegen, ob man den IE nicht ganz daktiviert und standadmäßig mozilla läd, alle file-berechtigungen auf den festplatten so restriktiv wie möglich setzen (keine userrechte an systemdateien und der registry).
an den verwaltungsrechnern mußt du auch arbeiten, denn wenn die leute angst vor angriffen aus dem internet haben, dann ist die hauptgefahr simpel und einfach ein trojaner, also immer aktuellen virenscanner, eventuell alles über einen proxy leiten, am besten den IE auch verbannen evbenso outlook und die leute, die daran arbeiten SCHULEN, so daß sie wissen, wo die gefahren lauern.
dies war jetzt nur ein abriß und soll als anregung dienen, heißt aber nicht, daß es keine möglichkeit mehr gäbe, diese maßnahmen zu umgehen.
xafford
XPneuling
