如何找到网内“违规用户”

网络通信

舒柯 · 2004年4月26日

　　公司局域网中的每台电脑都加入了Windows 2000域，并进行了严格的权限管理，每台电脑的使用者只能使用自己的域用户名登录电脑，并且只拥有本机的PowerUser权限。

　　由于这个PowerUser权限限制用户不能在电脑上安装大多数软件，所以有员工私自重装了系统。而如何才能避免这种情况的发生，查找到私自重装系统的违规用户呢？

　　原理

　　只要这类用户的电脑能上网就肯定有IP，有了IP就可以知道网卡的MAC地址，有了MAC地址我们就可以在交换机上找到该用户使用的端口，然后顺着配线架上的网络跳线就可以找到办公区的信息点编号，再对照架设网络时的布线文档即可找到私自重装系统的违规用户。

　　使用一款名为“SuperScan”的网络扫描工具(下载地址：http://soft.myzone.cn/down.asp?id=3184& no=1)能够找到使用者设定的IP范围内的所有电脑的IP和名称。在它的帮助下，笔者很容易就查找到了违规用户的IP地址(图1)。

　　笔者公司的DHCP服务器使用Windows 2000 Server系统。进入Windows 2000 Server系统中的“管理工具”，我们可以在“DHCP”中的“地址租约”中，按刚才用SuperScan 查找到的IP地址找到违规用户的网卡的MAC地址(图2)。

　　登录公司3台Cisco交换机中的任意一台，在“#”状态下输入“show mac-address”命令，然后查找到违规用户的网卡的MAC地址并查找到该用户的端口(图3)。

　　提示：如果MAC地址所对应的端口是交换机的级联端口，那么你只能放弃这个交换机，在下一台交换机上重复以级操作，直到找到用户端口为止。

　　现在，我们只需要在中心机房顺着这个端口上的网线，找到配线架上的信息点编号。再通过信息点对应表，即可找到违规用户的所在位置。