一、适用范围:
对等网,采用NAT方式共享Internet连接,且安装Windows XP Professional(Home用户的话,就要另外想办法了)。如果是域的环境,最好借助ISA 2004对特定的域用户进行访问限制,这更加有利于管理和扩展。
二、方法简述:
为了方便描述,这里假设你的网络是采用DHCP提供IP,同时该计算机的IP为192.168.0.5,安装在C盘,网络适配器名称为“本地连接”。
1.打开记事本,输入以下命令:
netsh interface ip set address 本地连接 source=dhcp
保存为EnableInet.bat,然后保存到C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon目录下。
2.新建一个文件,输入以下命令:
netsh interface ip set address 本地连接 source=static addr=192.168.0.5
mask=255.255.255.0 gateway=none
保存为DisableInet.bat,然后保存到C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logoff目录下。
3.分别对这两个脚本文件设置安全权限,只允许管理员和system具备访问权限,其他用户一律拒绝访问。
4.打开组策略管理单元,进入用户配置、Windows设置、脚本(登录/注销),设置EnableInet.bat为登录脚本,设置DisableInet.bat为注销脚本。
5.重新注销、并登录一次,测试脚本工作是否正常。
三、原理简述:
当管理员登录时,自动运行EnableInet.bat,可以访问Internet,而当管理员注销时,会运行DisableInet.bat,清空缺省网关设置。由于普通用户登录时,没有权限运行这两个脚本,所以无法访问Internet。
另注:其实无需设置脚本文件的权限,因为普通用户无法运行netsh命令来配置网络。
提醒一点,管理员在离开电脑时必须注销账户,而不是锁定。否则,登录系统的普通用户还是能上网。可以这样解决:管理员帐户下,依次展开控制面板、用户帐户、更改用户登录和注销方式,取消“使用快速用户切换”复选框。这样一旦按WIN+L锁定计算机后,只有管理员权限才可以解锁。
不过如果不是DHCP方式的网络,比如手动分配 IP 与网关的办公网络如何实现呢!可以将DsiableInet.bat脚本的内容稍微加以变化,设置默认网关(将gateway=none改为gateway=GateWayIPAddress),作为EnableInet.bat脚本的内容即可。
也可以考虑为受限用户设置策略,更改ie代理,阻止其使用ie接入internet 关于如何将策略应用到除本地管理员之外的受限账户,可以参考http://support.microsoft.com/kb/293655/zh-cn
2538
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
