域环境下用组策略禁止客户机更改IP
利用组策略禁止修改IP等网络设置
在一些单位里,只允许部分电脑连外网,具体方式一般通过路由器设置规则,过滤MAC,IP或IP/MAC。一些童鞋们就愤懑不平了,为啥他们能上网,我们不能上,主要方式是修改IP,MAC或使用软件代理。在域控环境下,禁止这些是比较简单的。如果网络带宽小,有多人使用P2P软件的话,网络会很卡。在中小企业里,网络只是辅助,用的都是工作组环境,而且一般网络结构比较简单,都是宽带路由器+傻瓜型交换机或者下面再接几个小交换机。在这样的网络环境里,IP地址被修改、网络协议被删除和其他一些网络设置被修改是很常见的,你就算知道他们是故意的你也没有太好的办法。遇到这种情况,除了行政手段,那只有通过技术手段,禁止用户去修改。下面简单谈一下如下利用组策略禁止修改IP等网络设置。
1.禁止访问网络协议属性
这个主要是禁止用户私自修改IP,把访问网络协议属性的功能禁用掉,这样用户即使想改也改不了。具体操作如下:
在开始菜单“运行”中输入“gpedit.msc”确定,运行组策略编辑器,在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”(如图),然后在右边的边框中找到并双击“禁止访问LAN连接组件的属性”在弹出的窗口中把它设置为“已启用”,然后点击“确定”,用命令“gpupdate /force”更新组策略后,用户就不能私自修改IP了。
2.禁止启用/停用网卡
按上面方法把“启用/禁用 LAN 连接的能力”设置为“已禁用”后确定即可。更新组策略就可以了。
3.禁止安装和卸载网络协议
按上面方法把“禁止添加或删除用于 LAN 连接或远程访问连接的组件”在弹出的窗口中把它设置为“已启用”,然后点击“确定”。更新组策略就可以了。
通过以上操作可以 禁止访问网络协议属性,禁止启用/停用网卡,禁止安装和卸载网络协议。
顺便谈下克隆MAC上网的问题,这种主要是因为路由器里过滤了MAC上网。克隆MAC上网电脑多的情况下,比较难查,不过可以绑定每台的IP/MAC来预防。可以在命令提示符下输入命令:ARP - s IP MAC,即可把MAC地址和IP地址捆绑在一起。具体可以把这个命令保存到.BAT文件,然后放到启动项里。禁止修改MAC,我还没找到方法。
如果是通过代理软件上网的话,可以通过网管软件,比如说聚生网管之类,就可以查出来。
最后还是配合行政手段来吧,没什么好的办法,因为在这样的网络环境,突破限制上网还是比较简单的,网上的教程太多了。