禁止更改IP地址
如果允許用戶能夠自己更改IP地址,就有可能和網絡中其他計算機IP地址沖突。有些單位的網絡管理員配置好計算機的IP地址后,不想讓用戶自己更改。以下示例將會演示禁止用戶更改IP地址一種方法。
4.9.1示例:禁止用戶更改IP地址
沒有管理員權限的用戶,默認就沒有權限更改計算機的IP地址。本示例主要用於禁止管理員來更改計算機的IP地址,登錄的用戶都是計算機的管理員。
Network Connections服務管理“網絡和撥號連接”文件夾中對象,在其中您可以查看局域網和遠程連接。如果停止該服務,用戶將不能訪問本地連接來更改IP地址。
本示例能夠控制包括本地用戶和域用戶、普通用戶以及管理員來通過本地連接屬性修改IP地址。
如果允許域管理能夠修改客戶計算機的IP地址,可以將Network Connections服務啟動類型設置為“手動”,設置該服務的安全性只允許域管理員能夠啟動。
任務:
u 設置組策略將培訓部門的計算機Network Connections設置成手動啟動
u Network Connections只允許domain Admins組能夠完全控制
u 重啟培訓部計算機eduPC1
u 以本地管理員登錄eduPC1更改IP地址驗證組策略設置
u 以域管理員登錄eduPC1啟動Network Connections服務更改IP地址
步驟:
1. 如圖4-171所示,在DCServer上,打開組策略管理工具,右擊鏈接在培訓部組織單元的組策略eduGPO,點擊“編輯”。
2. 如圖4-172所示,在出現的組策略管理編輯器對話框,在計算機配置下,點中系統服務,在詳細窗口,雙擊“Network Connections”。
圖 4-171 編輯組策略 圖 4-172 編輯組策略
3. 如圖4-173所示,在出現的Network Connections屬性對話框,選中“定義這個策略設置”,啟動模式選中“手動”,點擊“編輯安全設置”。
4. 如圖4-174所示,在出現的安全設置Network Connections對話框,選中“SYSTEM”,點擊“刪除”。刪除Administrators組,刪除INTERACTIVE。點擊“添加”。
圖 4-173 編輯Network Connections屬性 圖 4-174 編輯安全性
5. 如圖4-175所示,點擊“添加”Domain Admins組,授予其完全控制。
6. 如圖4-176所示,添加Everyone,選中“讀取”。
圖 4-175 編輯安全性 圖 4-176 編輯安全性
7. 如圖4-177所示,在eduPC1上以本地管理員登錄。
8. 如圖4-178所示,打開網絡連接,看不到本地連接,但在命令提示符下輸入ipconfig /all可以看到IP地址。因此用戶不能打開本連接屬性更改IP地址。
圖 4-177 登錄 圖 4-178 查看本地連接
9. 如圖4-179所示,點擊“開始”à“運行”,輸入services.msc,點擊“確定”。
10. 如圖4-179所示,打開服務管理工具,Network Connections服務為手動啟動,右擊Network Connection服務,可以看到沒有權限停止或啟動或重新啟動。
11. 如圖4-180所示,以域管理員登錄eduPC1。
圖 4-179 查看服務狀態 圖 4-180 登錄
12. 如圖4-181所示,登錄后打開網絡連接,不能看到本地連接。點擊“運行”à“開始”,輸入“services.msc”,點擊“確定”。
13. 如圖4-182所示,在出現的服務對話框,右擊Network Connections服務,點擊“啟動”。域管理員有權啟動。
圖 4-181 查看本地連接 圖 4-182 啟動服務
14. 如圖4-183所示,右擊網絡連接空白處,點擊“刷新”。
15. 如圖4-184所示,可以看到本地連接出現。現在域管理員可以更改本地連接的IP地址。
圖 4-183 刷新 圖 4-184 出現本地連接
總結:通過控制計算機的服務的啟動模式和安全性,來控制計算機的行為。