Bonjour,

petite question:

J'ai un reseau d'entreprise avec domaine gérer par un Active directory.
Les droits sur le réseau sont en place, la distribution d'adresse IP se fait par DHCP.

Or si on se connecte avec un PC qui n'appartient pas au domaine, même si on n'accède pas au réseau, on obtient une adresse IP avec la possibilite de se connecter à Internet (notre connexion internet n'est pas une sortie direct: on a un VPN avec le siège d'où l'on peut sortir vers le net).

Comment peut on faire pour remedier à cela?

merci

Le 02 mai 2005 - 10 h 52, @toto@ a écrit : Bonjour, petite question: J'ai un reseau d'entreprise avec domaine gérer par un Active directory. Les droits sur le réseau sont en place, la distribution d'adresse IP se fait par DHCP. Or si on se connecte avec un PC qui n'appartient pas au domaine, même si on n'accède pas au réseau, on obtient une adresse IP avec la possibilite de se connecter à Internet (notre connexion internet n'est pas une sortie direct: on a un VPN avec le siège d'où l'on peut sortir vers le net). Comment peut on faire pour remedier à cela? merci

ce ne serait pas un problème de compte invité qui traine activé dans un cion ca au risque de dire une connerie

non le compte guest est désactivé.

Va dans ton registre (démarrer, executer regedit) fait une sauvegarde du registre au cas ou.. et va à cette clé :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

là pour restrictanonymous (créé la valeur dword si elle n'existe pas) tu mets 2

Le 02 mai 2005 - 11 h 47, xboxman a écrit : Va dans ton registre (démarrer, executer regedit) fait une sauvegarde du registre au cas ou.. et va à cette clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa là pour restrictanonymous (créé la valeur dword si elle n'existe pas) tu mets 2

heu de quoi tu me parles????

Ce que je veux c'est empecher mon DHCP de délivrer des adresse IP à des PC ne faisant pas partie de mon domaine afin qu'ils ne puissent pas acceder au net.

Pourquoi ne mets-tu pas en place un DHCP statique ?
Et comme ca, tu désactives le pool d'ip dynamiques, l'attribution se faisant alors par l'adresse MAC préalablement déclarée...

bah justement mon truc restreint l'acces aux pc anonymes, c'est à dire ceux qui font pas partie de ton domaine

Le 02 mai 2005 - 11 h 52, gege38 a écrit : Pourquoi ne mets-tu pas en place un DHCP statique ?

ben parcequ'il y a 230 Pc connectés sur mon réseau !!!!

Le 02 mai 2005 - 12 h 00 , xboxman a écrit : bah justement mon truc restreint l'acces aux pc anonymes, c'est à dire ceux qui font pas partie de ton domaine

Je n'ai accès qu'au repertoire netlogon sur mon controleur de domaine (la gestion des CD est centralisée). A part ça j'ai que des droits sur l'AD

Le 02 mai 2005 - 12 h 06, @toto@ a écrit : Le 02 mai 2005 - 11 h 52, gege38 a écrit : Pourquoi ne mets-tu pas en place un DHCP statique ? ben parcequ'il y a 230 Pc connectés sur mon réseau !!!!

Fais des VLAN alors

ah ouais ok jpensais à un tout petit réseau

Le 02 mai 2005 - 12 h 17, gege38 a écrit : Fais des VLAN alors

c'est pas à l'ordre du jour un investissement dans des routeurs vlan.

Il n'y a pas une option interdisant le DHCP à ne delivrer une @IP seulement si le pc est membre du domaine?

Le 02 mai 2005 - 12 h 28, xboxman a écrit : ah ouais ok jpensais à un tout petit réseau

Ben non, c'est pour ça, j'me vois mal faire le tour des PC pour changer un parametre de la base de registre

Le 02 mai 2005 - 14 h 29, @toto@ a écrit : Il n'y a pas une option interdisant le DHCP à ne delivrer une @IP seulement si le pc est membre du domaine?

J'y connais rien en gestion de réseau sous windows, mais comment le DHCP va faire pour savoir si poste est membre du domaine sans lui avoir délivré d'adresse IP au préalable (et sans avoir de table des @MAC) ?

Le 02 mai 2005 - 14 h 35, loz a écrit : Le 02 mai 2005 - 14 h 29, @toto@ a écrit : Il n'y a pas une option interdisant le DHCP à ne delivrer une @IP seulement si le pc est membre du domaine? J'y connais rien en gestion de réseau sous windows, mais comment le DHCP va faire pour savoir si poste est membre du domaine sans lui avoir délivré d'adresse IP au préalable (et sans avoir de table des @MAC) ?

c'est ce que je me demande justement

Et si tu gères le problème aprés... Tu brides ta sortie internet via un proxy, il pourra limiter l'acces aux utilisateurs qui sont dans l'AD.

u

Moralité, c'est pas le boulot du DHCP de faire les controles d'accès.

Le 03 mai 2005 - 11 h 32, molthou a écrit : Et si tu gères le problème aprés... Tu brides ta sortie internet via un proxy, il pourra limiter l'acces aux utilisateurs qui sont dans l'AD. u

ça c'est fait, on a un proxy.
Mais ça me gene (demandez pas pourquoi c'est comme ça ) de savoir que l'on peut obtenir une adresse IP. En plus j'aiemrai bien comprendre un peu plus ce point qui est une lacune

En fait lors d'une requet DHCP, le client n'envois que son adresse Mac. Il n'y a pas encore de notion de domaine.
Donc logiquement le seul moyen de filtrer les machines qui ce connect sur ton réseau, c'est l'adresse MAC.

J'ai trouvé ce site, tu as quelques infos sur le DHCP et entre autre une analyse de trame, ça peut etre interressant....

http://christian.caleca.free.fr/dhcp/analyse_de_trames.htm

a+

Exact,

ton DHCP, d'office, donnera une adresse ip a n'importe quelle ordinateur présent sur le réseau.


Apres c'est une question de sécurité entre ton proxy et ton AD !!!

merci, je vais regarder ça en detail