组策略管理网络属性.docx
《组策略管理网络属性.docx》由会员分享,可在线阅读,更多相关《组策略管理网络属性.docx(33页珍藏版)》请在冰豆网上搜索。
组策略管理网络属性
本地连接“属性”打不开的故障排除
一、如何限制修改IP地址---如何禁止显示的本地连接“属性”
现在很多单位都配置了局域网,为了便于进行网络管理,同时为了提高登录网络的速度,网管人员一般都为局域网中的每台电脑都指定了IP地址。
但是在windows环境下其他用户很容易修改IP地址配置,这样就很容易造成IP地址冲突等故障,不利于网络的正常管理。
因此,最好能为IP地址加上一把“锁”,这样别人就不能轻易更改IP地址了。
在Windows2000/XP/2003Server操作系统中,有三个动态链接库文件(Netcfgx.dll、Netshell.dll和Netman.dll)与网络功能有关,它们实际上是三个“系统控件”,在Windows2000/XP/2003Server操作系统的安装过程中会自动注册这些控件。
这三个控件和windows2000/XP的网络功能紧密相关,当修改IP地址时,就需要用到这三个控件。
因此,只要将上述三个控件注销、卸载或删除了,就可以屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。
这样无论是双击桌面上的“网上邻居”图标,还是在“控制面板”中双击“网络连接”项,都无法正常进入“网络连接”窗口,也就无法在“本地连接属性”窗口中修改IP地址了。
1、限制修改权限的具体办法:
在“开始-运行”中,输入“Cmd.exe”,确定,打开CMD窗口,在其中分别执行“Regsvr32/uNetcfgx.dll”、“Regsvr32/uNetshell.dll”、“Regsvr32/uNetman.dll”命令,就可以将上述控件从系统中卸载。
注意:
命令中的regsvr32与/u之间,/u与Netcfgx.dll之间,均需用“空格”间隔开。
当然,如果以后需要恢复修改IP地址的话,可以将上述控件逐一进行“注册”即可。
注册的方法很简单,只要将上述命令中的“/u”参数去掉,然后重新执行一遍注册操作就行了。
例如,执行命令“Regsvr32Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
另一个版本的“限制或恢复修改权限”:
--禁止修改IP:
regsvr32netcfgx.dll/u/s
regsvr32netshell.dll/u/s
regsvr32netman.dll/u/s
--恢复修改权限:
regsvr32netcfgx.dll/s
regsvr32netshell.dll/s
regsvr32netman.dll/s
2、只要将每台电脑的IP地址和网卡的MAC地址进行“绑定”即可,操作方法如下:
例如,捆绑IP地址“192.168.10.59”与MAC地址为“00-50-ff-6c-08-75”,单击“开始→运行”,并在打开的“运行”窗口中敲入“cmd”,确定,打开命令行窗口,然后输入以下命令:
捆绑:
arp-s192.168.10.5900-50-ff-6c-08-75
解除捆绑:
arp-d192.168.10.59
另外,如果是在windows2000的域环境中,可以使用“组策略”限制用户修改IP地址,并启用DHCP动态分配IP地址。
3、妙招避免IP非法修改
局域网中各工作站的TCP/IP参数,被随意修改后,很容易造成IP地址冲突的现象,这会给局域网管理工作,带来不小的麻烦。
作为网管人员,有没有办法保护好自己的网络,不让别人随意作主──非法修改IP地址呢?
其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦!
注册表设置法:
首先,需要将桌面上的“网上邻居”图标隐藏起来:
让其他人无法通过“网上邻居”的“属性”窗口,进入到TCP/IP参数设置界面。
依次展开注册表编辑窗口中的“HKEY_CURRENT_USER、Software、Microsoft、windows、CurrentVersion、PolicIEs、Explorer”子键,然后在“Explorer”子键下面,创建一名为“NoNetHood”双字节值,并将它设置为“1”,就可以了。
其次,再将“控制面板”窗口中的“网络”图标隐藏起来:
那么其他人根本就打不开TCP/IP参数设置界面了。
只要你打开“windows\Sys_tem(去掉"_")\netcpl.cpl”文件,然后在[don"tload]处,输入一行形如“netcpl.cpl=no”的代码,重新保存后,“网络”图标就从控制面板窗口中消失了。
到了这里,所有可以修改IP的途径都被“切断”了,这样其他人即使想修改IP地址,也无处下手了。
当然,这种方法只能蒙蒙菜鸟网民,对于“大虾”级的网民来说,几乎就是聋子的耳朵──摆设。
因为网民一旦找到“netcpl.cpl”文件,还是有办法恢复“网络”或“网上邻居”图标的,为此,你还需要进行下面的工作,才能真正意义上“切断”IP的修改通道:
依次展开注册表中的“HKEY_CURRENT_USER、Software、Microsoft、windows、CurrentVersion、PolicIEs、Network”子键,然后在“Network”子键下面,创建一个名为“NoNetSetup”的双字节值,并将它设置为“1”;之后,你再想打开“网上邻居”或“网络”属性窗口时,将会得到无权访问的提示。
二、禁用本地网络连接“属性”(包括管理员)
2011-03-2109:
22:
06
以前在工作组环境中因很多业务软件都需要管理员权限,因此我们在部署客户端系统时在给予用户管理员权限时必须限制用户修改“本地连接属性”,在制作系统时将注册表导入然后统一部署(现在是域环境后就不用了,因为普通user权限本身是无法修改“网络连接属性”的),如下:
1、限制使用“网络属性”:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_EnableAdminProhibits"=dword:
00000001
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanConnect"=dword:
00000000
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanChangeProperties"=dword:
00000000
2、解除“使用网络属性”限制:
WindowsRegistryEditorVersion5.00
[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_EnableAdminProhibits"=dword:
00000001
[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanConnect"=dword:
00000000
[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanChangeProperties"=dword:
00000000
3、说明:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_EnableAdminProhibits"=dword:
00000001(使系统管理员也受限制,即限制的总开关,注意这个是总开关,不使用它,是没法限制管理员的--在“组策略”中式“已启用”。
)
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanConnect"=dword:
00000000(禁止“启用/停用网卡”)
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanChangeProperties"=dword:
00000000(禁止访问网络协议属性)
以上是针对导入的当前用户而言的,至于在哪些环境中用需灵活应用。
备注:
1、打开“记事本”,在“记事本”中分别输入以上三个项目(也就是分别建立三个“记事本”文件),保存为REG格式或者REGEDIT4:
2、以上是“注册表”文件的标准文件格式,其中的“大小写、方括号、引号、等号、分号”都是必须有的,且不能更改。
3、WindowsRegistryEditorVersion5.00下方是一行空行,是必须有的。
4、分别在"NC_EnableAdminProhibits"=dword:
00000001、"NC_LanConnect"=dword:
00000000和"NC_LanChangeProperties"=dword:
00000000的下面还有两行空行,是必须有的。
5、保存成为后缀为“REG”的文件,不能带有TXT后缀,这样“双击”即可导入“注册表”了。
本文出自“小飞侠的博客”博客,请务必保留此出处:
使用“注册表”与“组策略”禁止修改IP及本地连接属性
09-03-0718:
56 发表于:
《小吴电脑维修、组装、数据恢复!
》
可能一些网管会遇到这样的情形:
IP地址被客户恶意修改、网络协议被恶意删除和其他一些网络设置被恶意修改。
其实要预防这种恶意现象也很容易,我们可以通过修改注册表和组策略这两种方法来很好地预防它。
1、为管理员启用网络连接设置
在Windows2000Professional中,所有这些设置都具有禁止管理员使用某些功能的能力。
默认情况下,WindowsXPProfessional中的“网络连接”组设置不具有禁止管理员使用功能的能力。
如果“启用”此设置,已存在于Windows2000Professional中的WindowsXP设置会具有阻止管理员使用某些功能的能力。
这些设置为:
“重命名所有用户可以使用的LAN连接或远程访问连接的能力”;
“禁止访问LAN连接组件的属性”;
“禁止访问远程访问连接组件的属性”;
“禁止访问TCP/IP高级配置的能力”;
“禁止访问高级菜单上的高级设置项”;
“禁止添加和删除用来进行LAN连接或远程访问连接的组件”;
“禁止访问LAN连接的属性”;
“禁止启用/禁用LAN连接组件”;
“更改所有用户远程访问连接的属性的能力”;
“禁止更改专用远程访问连接的属性”;
“禁止删除远程访问连接”;
“删除所有用户远程访问连接的能力”;
“禁止连接和断开连接远程访问连接”;
“启用/禁用LAN连接的能力”;
“禁止访问新建连接向导”;
“禁止重命名专用远程访问连接”;
“禁止访问高级菜单上的远程访问首选项菜单项”;
“禁止查看活动连接的状态”。
“启用”此设置时,同时存在于Windows2000Professional和WindowsXPProfessional中的设置对管理员的行为相同。
如果“禁用或不配置”此设置,已存在于Windows2000中的WindowsXP设置将不适用于管理员。
1)我们先用“注册表”的方法来实现适用于管理员的网络连接设置:
用新建一个文本文件先命名为“为管理员启用网络连接设置.txt”,在里面输入以下语句:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_EnableAdminProhibits"=dword:
00000001
然后保存(注意:
WindowsRegistryEditorVersion5.00下方是一行空行,是必须的),把文本文件的扩展名txt改成reg;
双击这个reg文件,系统弹出提示,点击“是”按钮,导入注册表就成功了。
重启电脑后,为管理员启用网络连接设置的功能也就实现了。
2)使用组策略的方法来实现“为管理员启用网络连接”:
点击“开始”──“运行”,然后输入“gpedit.msc”,确定,运行组策略编辑器,在组策略左边框中依次找到“用户配置”──“管理模板”──“网络”──“网络连接”,然后在右边的边框中找到并双击“为管理员启用Windows2000网络连接设置”在弹出的窗口中把它设置为“已启用”,然后点击“确定”,重启电脑后,为管理员启用网络连接设置的功能也就实现了。
2、禁止安装和卸载网络协议
如果电脑被安装过多的网络协议会给机器或网络造成负担,必会影响网络访问的稳定性,而如果把必须的协议删了,也就无法正常上网了,为此,我们要禁止客户安装和卸载网络协议。
按上面的方法新建一个命名为“禁止安装和卸载网络协议.reg”的注册表文件,输入内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_AddRemoveComponents"=dword:
00000000
(注意:
WindowsRegistryEditorVersion5.00下方是一行空行,是必须的)
使用组策略的方法来实现“禁止安装和卸载网络协议”:
按上面方法找到并双击“禁止添加或删除用于LAN连接或远程访问连接的组件”这一项,把它设置为“已启用”即可。
3、禁止TCP/IP协议高级选项
TCP/IP协议的“高级”选项按钮可以允许用户修改DNS和WINS服务器信息等,为了保险起见,我们也同样要禁用它。
按上面的方法新建一个命名为“禁止TCP/IP协议高级选项.reg”的注册表文件,输入内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_AllowAdvancedTCPIPConfig"=dword:
00000000
(注意:
WindowsRegistryEditorVersion5.00下方是一行空行,是必须的)
使用组策略的方法来实现“禁止TCP/IP协议高级选项”:
按上面方法找到并双击“禁用TCP/IP高级配置”这一项,把它设置为“已启用”即可。
4、禁止启用/停用网卡
新建注册表文件“禁止停用网卡.reg”,输入以下内容:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanConnect"=dword:
00000000
(注意:
WindowsRegistryEditorVersion5.00下方是一行空行,是必须的)
使用组策略的方法来实现“禁止启用/停用网卡”:
按上面方法把“启用/禁用LAN连接的能力”设置为“已禁用”后“确定”即可。
5、禁止访问网络协议属性
有时用户会恶意自行去修改电脑的IP地址,这就有可能会导致IP地址出现冲突,为了避免这种现象,我们可以把访问网络协议属性的功能禁用掉,这样用户即使想改也改不了。
新建注册表文件“禁止访问网络协议属性.reg”,输入内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]
"NC_LanChangeProperties"=dword:
00000000
(注意:
WindowsRegistryEditorVersion5.00下方是一行空行,是必须的)
保存后导入注册表。
使用组策略的方法来实现“禁止访问网络协议属性”:
按上面的办法把“禁止访问LAN连接组件的属性”选项的属性设置为“已启用”,并单击“确定”按钮即可,以后进入网络连接“属性”界面,选中其中的协议项目时,就会看到对应的“属性”按钮依然是“灰色”的,就不可用了,这样一来普通用户就无法打开TCP/IP参数设置窗口,随便修改IP地址了。
四、别乱动---局域网IP地址就不让你改!
作为网络管理员的我,经常发现有的员工的电脑提示IP地址与其他人冲突。
现场给他重新分配了一个IP地址,提示消失。
可是过两天同样的问题又来了,总有人肆意修改IP地址,必须想个办法处理一下!
解决线路图:
隐藏网络连接图标(第一招)→限制修改网络属性(第二招)→封锁一切修改IP途径(第三招)
第一招:
隐藏网络连接图标---专“骗”初学者
正常情况下,双击桌面右下方系统托盘中有“本地连接”图标,然后选“属性”按钮,可以很快地进入“本地连接属性”窗口,很方便地就能修改自己电脑中的IP地址。
所以,可以先取消桌面右下方系统托盘中“本地连接”图标。
右击“网上邻居”选“属性”,在“网络和拨号连接”窗口中右击“本地连接”选“属性”,在该窗口中将“连接后在任务栏中显示图标”前面的“选中标记”去掉即可。
此招虽然能够控制一部分人擅自修改IP地址,但只对那些“菜鸟”起作用,对稍有一些电脑知识的人来说,它起不了多大的作用,因为控制面板中同样可以进入上述位置修改。
第二招:
限制修改网络属性(进阶封锁)---“属性”不可用
修改IP地址,往往是通过“本地连接”的“属性”来进行的。
控制了“本地连接”的“属性”功能,让其变成不可用状态不就行了吗。
我经过一番探索终于找到了设置它的方法。
具体做法如下:
点击“开始→运行”,在运行窗口中输入“gpedit.msc”,确定,打开“组策略”,依次展开“用户配置→管理模板→网络→网络及拨号连接”,在右侧窗口中右击“禁止访问LAN连接的属性”选项,在出现的快捷菜单中选“属性”,在该窗口的“策略”选项卡中将选项设置成“启用(E)”(见图1),按下“确定”退出即可。
好了,现在右击系统托盘中“本地连接”图标选“状态”,或从“开始→设置”→“网络和拨号连接”进入“本地连接属性”窗口,“属性”按钮已经变成“灰色”,不可用了(见图2);从右击“网上邻居”或从“控制面板”中进入同样无法修改。
第三招:
封锁一切修改IP途径(隐身大法)---让擅改IP地址的人无从下手
前两招使出后,已能防止绝大多数人擅自修改自己的IP地址了,为了杜绝后患,还有一个好方法,那就是将能够修改IP地址的地方全部给隐藏掉。
能够修改IP地址的地方有:
一是通过右击桌面右下方系统托盘中的“本地连接”图标;
二是通过“网上邻居”属性进行修改;
三是通过“控制面板”进行修改;
四是通过“开始→设置→网络和拨号连接”进入“本地连接属性”窗口,来修改IP地址。
我们针对以上四种情况来一一进行隐藏:
第一种情况,可以通过我提供的第一招来解决。
第二种情况,可进行如下设置---
具体做法是:
点击“开始→运行”,在运行窗口中输入“gpedit.msc”,出现“组策略→用户配置→管理模板→桌面”选项,在右侧窗口中右击“隐藏桌面上'网上邻居’图标”选项,在出现的快捷菜单中选“属性”(见图3),然后在出现的“隐藏桌面上'网上邻居’图标”属性窗口中的“策略”选项卡中将选项设置成“启用”,重新启动电脑即可隐藏桌面上“网上邻居”图标。
第三种情况,在“组策略”窗口,依次展开“用户配置→管理模板→控制面板”选项,在右侧窗口中右击“禁用控制面板”选项,在出现的快捷菜单中选“属性→禁用控制面板”属性窗口的“策略”选项卡中将选项设置成“启用”,然后按下“确定”按钮,即可隐藏“控制面板”。
第四种情况,在“组策略”窗口,依次展开“用户配置→管理模板→任务栏和[开始]菜单”,在右侧窗口中右击“从[开始]菜单删除'网络和拨号连接’”选项,在“策略”选项卡中将选项设置成“启用”,按下“确定”按钮,即可隐藏“网络和拨号连接”。
通过以上几种方法,有效地保护了IP地址,也有效地防止人为地擅自乱改局域网中的IP地址。
以后自己确需要修改IP地址时,随时可以改回,也不算烦琐。
小提示:
如何将所有电脑批量控制
上述的操作必须由管理员到每台电脑上进行,比较麻烦,如果你希望局域网中指定用户都无法修改IP,就需要让所有用户都加入域,通过域的部署来控制了。
不过域的管理相对复杂,我们今后有可能专文介绍。
四、怎样禁止修改ip地址---禁止修改ip小技巧
怎样禁止修改ip地址呢?
很多用“局域网”的都会碰到IP冲突的事情,那是有人随意修改ip的缘故。
最近小编有个刚做了老师的同学向小编倒苦水,说现在的学生在学校机房经常随意修改IP地址,从导致很多计算机无法正常上网。
那么,如何禁止修改ip地址呢?
其实很简单,下面便看看几种禁止修改ip的方法。
怎样禁止修改ip地址第一招:
切断改IP入口
修改ip一般是通过“连接属性”来修改的。
我们可以禁用非管理人员访问“连接属性”来实现禁止修改ip。
“开始”菜单-“运行”-输入“gpedit.msc”-->管理模板-->网络-->网络连接,然后把“禁止访问LAN连接组件属性”、“为管理员启用Windows2000网络连接设置”都“启用”便ok了。
但是一台台电脑来这样执行的话,如果你管理的局域网很庞大,那工作量便大了。
我们可以通过一个简单的“批处理”文件来实现--新建一个txt文件,命名随意,然后把下面的代码复制到txt文件中:
regsvr32/unetcfgx.dll
regsvr32/unetman.dll
regsvr32/unetshell.dll
echo雨林木风系统门户提醒您,设置已成功!
pause
“保存”文件,然后把文件后缀名改为bat即可。
只要点击这个批处理文件,就会发现右键“网上邻居”的时候无法访问“属性”选项了。
如果想重新访问“网上邻居”的“属性”选项,则把刚才那个文件的/u改成/s即可。
怎样禁止修改ip地址第二招:
绑定MAC地址
“开始”菜单-运行-输入“cmd”,执行“ipconfig/all”命令,在弹出的窗口中,将网卡的“MAC地址、IP地址”记录下来;
然后将指定IP地址与对应的MAC地址,绑定在一