电脑维护
塘沽电脑维修:企业网络管理入门必修课 禁止修改终端IP
对于企业中的局域网而言,最难管理的并不是服务器主机,而是千差万别的各个终端。毕竟每位终端用户的操作都会影响其网络的连接状况,甚至波及到整个局域网。所以管理好终端系统是很有必要的。无论是采取DHCP还是指定独立地址的方法,IP冲突和抢占已经成为管理局域网时最棘手的问题。怎样才能更好的管理IP地址呢?
最简单的办法就是——禁止终端用户修改网络配置!
隐藏网络设置界面
如果将网络连接等设置对象隐藏起来,用户就无从下手了,此时即可达到维护IP地址的目的。首先在终端上打开注册表(regedit),依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,在右侧键值窗口中新建然后一个名为NoNetHood的双字节值,并将其值设置为1,这样就无法通过桌面的网络邻居进入TCP/IP设置界面了。
接下来在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”创建一个名为“NoNetSetup”的双字节值,并将它设置为1;以后终端用户再想打开“网上邻居”或“网络”属性窗口时,将会看到无权访问的提示。
注销组件防止篡改IP
很多用户为了达到某些特殊的目的会在TCP/IP中修改地址,这对于管理员的管理工作带来了麻烦。基于目前常见的Windows 2000/XP系统,其IP地址修改无非调用了Netcfgx.dll,Netshell.dll和Netman.dll三个文件,只要将这些组件注销即可达到保护IP地址的目的。在运行窗口中分别输入Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll将三个组件注销。这样在整个系统中将无法修改IP地址了。恢复的时候可以分别使用命令Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll进行恢复。建议管理员将其制作成批处理文件,进行统一的执行操作。
绑定IP地址
以上的两种方法针对一般用户比较有效。但如果终端用户自行修改,则又可以自由的修改IP地址了。此时可以通过IP与MAC地址绑定,然后在服务器端控制的方法达到一劳永逸。
运行CMD,输入arp -s 192.168.1.10 00-20-6F-16-5A-EF,并在服务器端设置MAC规则,这样IP地址和MAC地址就绑定在一起了。以后如果该用户擅自修改IP地址,就会无法连接到网络。
使本地连接的属性变为灰色的方法:打开组策略-用户配置-管理模板-网络-网络及拨号连接-禁止访问LAN的连接属性,下面是其他两种禁止修改网络连接属性的方法。
方法一:
在Windows 2000/XP中存在Netcfgx.dll,Netshell.dll和Netman.dll三个动态库文件,它们实际上是系统控件,在Windows 2000/XP的安装过程中会自动注册这些控件。这三个控件和Windows 2000/XP的网络功能紧密相关。当修改IP地址时,就需要用到这三个控件。因此,只要将上述三个控件卸载,就可以屏蔽网络连接窗口,这样无论是双击桌面上的网上邻居图标,还是在控制面板中双击“网络连接”项,都无法正常进入网络连接窗口,也就无法在本地连接属性窗口中修改IP地址了。
在“开始/运行”中输入“Cmd.exe”,确认后打开CMD窗口,在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令,就可以将上述控件从系统中卸载。当然,如果以后需要修改IP地址的话,可以上述控件逐一注册即可。注册的方法很简单,只要将上述命令中的“/u”参数去掉,就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
方法二
在一个大型的网络,出于安全的考虑,网络管理员可能不允许用户随意修改自己的IP地址、不允许用户使用拨号连接,初一看好像没有什么好办法,前段时间刚好有客户提出了不想让用户拨号的要求(技术部门无法对电话交换机无法进行管理),于是想了想,今天作一个总结。
客户使用了Windows 2000的AD结构,而且Clinet基本都是Win2K Pro,分区类型有NTFS和FAT,本来如果都是用的NTFS的话,对一些DLL文件进行权限设置也可以满足,我这里选择的是raschap.dll,当然,类似的DLL也有一些(俺也懒得整理了),在CMD窗口执行下面的命令:
cacls %systemroot%\system32\raschap.dll /e /d everyone
然后重新启动机器,你会发现你已经建立好的拨号连接都看不到了,而且在你新建连接的时候会出错,报告权限不足。如果需要用的时候,把该dll的权限改回来即可(需要重新启动机器喔)
cacls %systemroot%\system32\raschap.dll /e /g everyone:r
由于客户使用的是AD结构,设置权限可以在组策略里面来实现,把下面的内容加到你的安全模板文件的"File Security"段,然后应用该模板即可。 "%systemroot%\system32\raschap.dll",1,"D:PAR(D;OICI;FA;;;WD)"
当然,在这里出现了一个这样的问题,如果磁盘是FAT或者FAT32就无法应用NTFS权限来解决了,我们就只能在注册表里面想办法了,打开你的Regedt32,转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
然后在菜单上的“安全”-“权限”
uncheck “允许继承...”,并设置为Everyone只读,一切OK;
如果需要应用在AD中我们可以在组策略的inf文件中的“Registry Keys”段里添加以下一行 "machine\system\currentcontrolset\services\tcpip\parameters\interfaces", 0, "D:AR(A;CI;KR;;;WD)"
设置了注册表的权限后,系统无法从 DHCP 服务器上获取IP,无法自己修改IP,很多与网络相关的修改都无法成功,当然,如果你公司内部使用了DHCP就会出问题喔...
本网站关键词:塘沽电脑维修 | 塘沽办公用品 | 展远科技