组策略管理网络属性.docx

组策略管理网络属性.docx

《组策略管理网络属性.docx》由会员分享，可在线阅读，更多相关《组策略管理网络属性.docx（45页珍藏版）》请在冰豆网上搜索。

本地连接“属性”打不开的故障排除

一、如何限制修改IP地址---如何禁止显示的本地连接“属性”

现在很多单位都配置了局域网，为了便于进行网络管理，同时为了提高登录网络的速度，网管人员一般都为局域网中的每台电脑都指定了IP地址。

但是在windows环境下其他用户很容易修改IP地址配置，这样就很容易造成IP地址冲突等故障，不利于网络的正常管理。

因此，最好能为IP地址加上一把“锁”，这样别人就不能轻易更改IP地址了。

在Windows2000/XP/2003Server操作系统中，有三个动态链接库文件（Netcfgx.dll、Netshell.dll和Netman.dll）与网络功能有关，它们实际上是三个“系统控件”，在Windows2000/XP/2003Server操作系统的安装过程中会自动注册这些控件。

这三个控件和windows2000/XP的网络功能紧密相关，当修改IP地址时，就需要用到这三个控件。

因此，只要将上述三个控件注销、卸载或删除了，就可以屏蔽“网络连接”窗口，也就能禁止通过“本地连接属性”对话框修改IP地址。

这样无论是双击桌面上的“网上邻居”图标，还是在“控制面板”中双击“网络连接”项，都无法正常进入“网络连接”窗口，也就无法在“本地连接属性”窗口中修改IP地址了。

1、限制修改权限的具体办法：

在“开始-运行”中，输入“Cmd.exe”，确定，打开CMD窗口，在其中分别执行“Regsvr32/uNetcfgx.dll”、“Regsvr32/uNetshell.dll”、“Regsvr32/uNetman.dll”命令，就可以将上述控件从系统中卸载。

注意：

命令中的regsvr32与/u之间，/u与Netcfgx.dll之间，均需用“空格”间隔开。

当然，如果以后需要恢复修改IP地址的话，可以将上述控件逐一进行“注册”即可。

注册的方法很简单，只要将上述命令中的“/u”参数去掉，然后重新执行一遍注册操作就行了。

例如，执行命令“Regsvr32Netcfgx.dll”就完成了控件Netcfgx.dll的注册。

另一个版本的“限制或恢复修改权限”：

--禁止修改IP：

regsvr32netcfgx.dll/u/s

regsvr32netshell.dll/u/s

regsvr32netman.dll/u/s

--恢复修改权限：

regsvr32netcfgx.dll/s

regsvr32netshell.dll/s

regsvr32netman.dll/s

2、只要将每台电脑的IP地址和网卡的MAC地址进行“绑定”即可，操作方法如下：

例如，捆绑IP地址“192.168.10.59”与MAC地址为“00-50-ff-6c-08-75”，单击“开始→运行”，并在打开的“运行”窗口中敲入“cmd”，确定，打开命令行窗口，然后输入以下命令：

捆绑：

arp-s192.168.10.5900-50-ff-6c-08-75

解除捆绑：

arp-d192.168.10.59

另外，如果是在windows2000的域环境中，可以使用“组策略”限制用户修改IP地址，并启用DHCP动态分配IP地址。

3、妙招避免IP非法修改

局域网中各工作站的TCP/IP参数，被随意修改后，很容易造成IP地址冲突的现象，这会给局域网管理工作，带来不小的麻烦。

作为网管人员，有没有办法保护好自己的网络，不让别人随意作主──非法修改IP地址呢？

其实，很简单，你只要参照下面的步骤，就能轻松避免IP地址被非法修改的麻烦！

注册表设置法：

首先，需要将桌面上的“网上邻居”图标隐藏起来：

让其他人无法通过“网上邻居”的“属性”窗口，进入到TCP/IP参数设置界面。

依次展开注册表编辑窗口中的“HKEY_CURRENT_USER、Software、Microsoft、windows、CurrentVersion、PolicIEs、Explorer”子键，然后在“Explorer”子键下面，创建一名为“NoNetHood”双字节值，并将它设置为“1”，就可以了。

其次，再将“控制面板”窗口中的“网络”图标隐藏起来：

那么其他人根本就打不开TCP/IP参数设置界面了。

只要你打开“windows\Sys_tem（去掉"_"）\netcpl.cpl”文件，然后在[don"tload]处，输入一行形如“netcpl.cpl=no”的代码，重新保存后，“网络”图标就从控制面板窗口中消失了。

到了这里，所有可以修改IP的途径都被“切断”了，这样其他人即使想修改IP地址，也无处下手了。

当然，这种方法只能蒙蒙菜鸟网民，对于“大虾”级的网民来说，几乎就是聋子的耳朵──摆设。

因为网民一旦找到“netcpl.cpl”文件，还是有办法恢复“网络”或“网上邻居”图标的，为此，你还需要进行下面的工作，才能真正意义上“切断”IP的修改通道：

依次展开注册表中的“HKEY_CURRENT_USER、Software、Microsoft、windows、CurrentVersion、PolicIEs、Network”子键，然后在“Network”子键下面，创建一个名为“NoNetSetup”的双字节值，并将它设置为“1”；之后，你再想打开“网上邻居”或“网络”属性窗口时，将会得到无权访问的提示。

二、禁用本地网络连接“属性”（包括管理员）

2011-03-2109:

22:

06

以前在工作组环境中因很多业务软件都需要管理员权限，因此我们在部署客户端系统时在给予用户管理员权限时必须限制用户修改“本地连接属性”，在制作系统时将注册表导入然后统一部署（现在是域环境后就不用了，因为普通user权限本身是无法修改“网络连接属性”的），如下：

1、限制使用“网络属性”：

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_EnableAdminProhibits"=dword:

00000001

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_LanConnect"=dword:

00000000

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_LanChangeProperties"=dword:

00000000

2、解除“使用网络属性”限制：

WindowsRegistryEditorVersion5.00

[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_EnableAdminProhibits"=dword:

00000001

[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_LanConnect"=dword:

00000000

[-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_LanChangeProperties"=dword:

00000000

3、说明：

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_EnableAdminProhibits"=dword:

00000001（使系统管理员也受限制，即限制的总开关，注意这个是总开关，不使用它，是没法限制管理员的--在“组策略”中式“已启用”。

）

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_LanConnect"=dword:

00000000（禁止“启用/停用网卡”）

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\NetworkConnections]

"NC_LanChangeProperties"=dword:

00000000（禁止访问网络协议属性）

以上是针对导入的当前用户而言的，至于在哪些环境中用需灵活应用。

备注：

1、打开“记事本”，在“记事本”中分别输入以上三个项目（也就是分别建立三个“记事本”文件），保存为REG格式或者REGEDIT4：

2、以上是“注册表”文件的标准文件格式，其中的“大小写、方括号、引号、等号、分号”都是必须有的，且不能更改。

3、WindowsRegistryEditorVersion5.00下方是一行空行，是必须有的。

4、分别在"NC_EnableAdminProhibits"=dword:

00000001、"NC_LanConnect"=dword:

00000000和"NC_LanChangeProperties"=dword:

00000000的下面还有两行空行，是必须有的。

5、保存成为后缀为“REG”的文件，不能带有TXT后缀，这样“双击”即可导入“注册表”了。

本文出自“小飞侠的博客”博客，请务必保留此出处：

使用“注册表”与“组策略”禁止修改IP及本地连接属性

09-03-0718:

56  发表于：

《小吴电脑维修、组装、数据恢复！

》

可能一些网管会遇到这样的情形：

IP地址被客户恶意修改、网络协议被恶意删除和其他一些网络设置被恶意修改。

其实要预防这种恶意现象也很容易，我们可以通过修改注册表和组策略这两种方法来很好地预防它。

1、为管理员启用网络连接设置

在Windows2000Professional中，所有这些设置都具有禁止管理员使用某些功能的能力。

默认情况下，WindowsXPProfessional中的“网络连接”组设置不具有禁止管理员使用功能的能力。

如果“启用”此设置，已存在于Windows2000Professional中的WindowsXP设置会具有阻止管理员使用某些功能的能力。

这些设置为：

“重命名所有用户可以使用的LAN连接或远程访问连接的能力”；

“禁止访问LAN连接组件的属性”；

“禁止访问远程访问连接组件的属性”；

“禁止访问TCP/IP高级配置的能力”；

“禁止访问高级菜单上的高级设置项”；

“禁止添加和删除用来进行LAN连接或远程访问连接的组件”；

“禁止访问LAN连接的属性”；

“禁止启用/禁用LAN连接组件”；

“更改所有用户远程访问连接的属性的能力”；

“禁止更改专用远程访问连接的属性”；

“禁止删除远程访问连接”；

“删除所有用户远程访问连接的能力”；

“禁止连接和断开连接远程访问连接”；

“启用/禁用LAN连接的能力”；

“禁止访问新建连接向导”；

“禁止重命名专用远程访问连接”；

“禁止访问高级菜单上的远程访问首选项菜单项”；