lockingXP的DNS设置

所有,

开发人员通常需要OS的pipe理权限,以便他们可以完成任务。

我如何作为pipe理员,locking在Windows上的DNS设置,所以他们不能改变,只能由我?

我不是这个权限的专家,所以一步一步教程将不胜感激。

我没有钱设置服务器和主动目录的东西…所以这将被应用在每台机器上。

谢谢。

我们不要在这个问题上绕过灌木丛。

如果用户拥有“pipe理员”权限,那么对于您想要在计算机上执行的任何设置,都是“游戏结束”。 没有任何机制可以用来防止“pipe理员”对计算机做任何事情。 当您允许用户以“pipe理员”身份运行时,您放弃了您认为可能在计算机上使用的所有控制权。 案件结案。

您将能够控制这些计算机使用的DNS服务器的唯一方法是将防火墙configuration为将任何出站请求都删除到UDP端口53到任何您希望用户使用的DNS服务器以外的任何IP地址。 然后,如果他们更改指定的DNS服务器,他们的请求将无处可去,他们将要么改变他们,要么住在没有DNS的世界。

[非常大的SOAPBOX]

我希望你的公司不要开发一个转售产品。

这是2009年。微软一直在说,所有的应用程序软件shound正常运行与非特权用户帐户。 虽然我知道您的开发工具可能需要“pipe理员”权限才能正常工作,但很可能您的开发人员以“pipe理员”身份运行,他们正在开发的软件最终会要求运行它的用户也有“pipe理员“权限(因为它是写入的,很可能在”pipe理员“环境中进行testing)。

那样令我伤心。 每当我看到一个想要写入“C:\ Program Files …”的软件时,我都会默默地诅咒,并对软件开发社区感到更加愤怒。 每当我看到一个安装文件,说:“用户需要有'pipe理员'访问…”我感到我的手不由自主地卷入拳头。 是的,是的 – 也许我太认真了,但这我的工作…

我生病了,该死的厌倦了不必要处理由不起眼的公司编写的软件,认为软件需要特权用户帐户才能正常运行。 在任何情况下,我都build议我的客户不要购买这样的软件。 当不可能的时候,我通常会最终坐在Process Monitor旁边,找出如何设置一个最低限度的权限来使软件以有限的用户帐户运行。 如果这样做不起作用,那么我的客户必须最终购买额外的Windows操作系统许可证,以便我们可以在虚拟机中合法运行软件,用户可以拥有特权帐户,并且可以“回滚”所做的任何更改方便快捷。

对于我来说,你没有一个理解这一点的开发经理,并且禁止开发者拥有“pipe理员”的权利,这真是一个耻辱。 作为一个系统pipe理员,你必须处理拥有“pipe理员”权限的用户,这对我来说是耻辱。 作为一个系统pipe理员社区,我们对于站在用户/pipe理人员身上并没有做得更好,并且解释说如此大量的与计算机安全有关的问题(及相关费用 )有一个根导致与特权超出其实际需求的用户相关联。

你甚至不应该问这个问题。 坦率地说,你也不得不面对同样的垃圾。

鄙视不得不向我的客户开出不必要的费用,因为我花费的时间使那些不能像标准用户工作那样运行的恶劣软件“开箱即用”正常工作。 对我来说,这感觉就像是肮脏的钱,现在是时候,我宁愿花费一些方式来使用IT来提高他们的生产力和利润。

[/非常大的SOAPBOX]

pipe理员,就像Unix / Linux上的root一样,对机器拥有绝对的权力。 程序员 – 甚至更多。 如果您设法以某种方式lockingDNS设置,那么在该计算机上拥有pipe理员权限的人可以以同样的方式解锁它们。 即使他们不能这样做,他们仍然可以使用代理服务器(HTTP和SOCKS都支持在代理上parsing域)。

我只想为一台机器设置自定义DNS,您可以使用主机文件。

C:\ WINDOWS \ SYSTEM32 \ DRIVERS \ ETC \主机

把你的DNSlogging在这个文件中,将覆盖外部服务器上的DNS检查。