Windows 2000server里的组策略无法完善的实现禁止用户修改IP(客户端为Win2000Professional时生效,但对客户端为XP系统时就不生效了).但Windows2000 Server可以使用组策略及脚本停用Netcfgx.dll,Netshell.dll和Netman.dll三个动态库文件来现实此功能.
在Windows 2000/XP中存在Netcfgx.dll,Netshell.dll和Netman.dll三个动态库文件,它们实际上是系统控件,在Windows 2000/XP的安装过程中会自动注册这些控件。这三个控件和Windows 2000/XP的网络功能紧密相关。当修改IP地址时,就需要用到这三个控件。因此,只要将上述三个控件卸载,就可以屏蔽网络连接窗口,这样无论是双击桌面上的网上邻居图标,还是在控制面板中双击“网络连接”项,都无法正常进入网络连接窗口,也就无法在本地连接属性窗口中修改IP地址了。
在“开始/运行”中输入“Cmd.exe”,确认后打开CMD窗口,在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令,就可以将上述控件从系统中卸载。当然,如果以后需要修改IP地址的话,可以上述控件逐一注册即可。注册的方法很简单,只要将上述命令中的“/u”参数去掉,就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
在“开始/运行”中输入“Cmd.exe”,确认后打开CMD窗口,在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令,就可以将上述控件从系统中卸载。当然,如果以后需要修改IP地址的话,可以上述控件逐一注册即可。注册的方法很简单,只要将上述命令中的“/u”参数去掉,就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
相关知识:
域用户属性,登陆脚本
或者OU中建组策略,用户配置----windows设置----脚本---登陆脚本,按“添加”,加入脚本
或者“显示文件”,打开目录后把脚本复制进去。
或者OU中建组策略,用户配置----windows设置----脚本---登陆脚本,按“添加”,加入脚本
或者“显示文件”,打开目录后把脚本复制进去。
( 注: 可把“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”三个命令编辑为批处理文件,使用以登陆脚本来运行即可。(只对2000Pro和XP系统有效,对2003系统无效。))
已知条件:要在用户John机器启动时候运行John.bat。
将要运行的配置文件John.bat放置在主域控制器的下列文件夹中(假定你将W2K AD Server 安装在C:\WINNT目录):C:\WINNT\SYSVOL\sysvol\xxx.com.cn\scripts,
然后在john(用户名)->属性->配置文件中进行如下设置:
配置文件路径: 什么都不填
登录脚本:john.bat
1、在DC上鼠标右击“我的电脑”----管理----共享文件夹,确保共享名为Netlogon的对应目录指向C:\WINNT\SYSVOL\sysvol\xxx.com.cn\scripts;
2、在用户John的电脑注销、登录,搞定。
然后在john(用户名)->属性->配置文件中进行如下设置:
配置文件路径: 什么都不填
登录脚本:john.bat
1、在DC上鼠标右击“我的电脑”----管理----共享文件夹,确保共享名为Netlogon的对应目录指向C:\WINNT\SYSVOL\sysvol\xxx.com.cn\scripts;
2、在用户John的电脑注销、登录,搞定。
如何使用 Start.exe 命令行工具在前台运行域登录脚本
默认情况下,登录脚本在后台运行。您可以使用 Start.exe 命令行工具在运行 Windows 的计算机上运行本地和域登录脚本。
更多信息
要使用 Start.exe 创建在前台运行的域登录脚本,请创建一个名为 Logon.bat 的文件,该文件包含您要运行的命令。然后,创建一个名为 Newfile.bat 的文件来调用 Logon.bat 文件。将这两个文件放在域控制器上的 Netlogon 共享中。在基于 Windows 的域中,在 Microsoft 管理控制台 (MMC) 中启动“Active Directory 用户和计算机”工具,然后配置用户以将 Newfile.bat 文件用作登录脚本。
注意:在基于 Microsoft Windows NT 4.0 的域中,启动“域用户管理器”工具,然后配置用户以将 Newfile.bat 文件用作登录脚本。
在 Newfile.bat 文件中包含下面一行:
注意:本文中使用的文件名 Logon.bat 和 Newfile.bat 仅用于说明。您可以使用其他文件名。
有关“启动”工具的更多信息,请在命令提示符处键入
start /?。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
注意:在基于 Microsoft Windows NT 4.0 的域中,启动“域用户管理器”工具,然后配置用户以将 Newfile.bat 文件用作登录脚本。
在 Newfile.bat 文件中包含下面一行:
start /max logon.bat
当用户登录时,登录脚本就会在前台运行。
注意:本文中使用的文件名 Logon.bat 和 Newfile.bat 仅用于说明。您可以使用其他文件名。
用于基于 Windows 的客户端的首选方法
对于基于 Windows 的客户端,首选方法是使用“组策略”控制登录脚本的用户环境。登录脚本可以使用以下“组策略”设置:| • | 用户配置\管理模板\系统\登录/注销
| ||||||||||
| • | 计算机配置\管理模板\系统\登录
|
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
126410
([url]http://support.microsoft.com/kb/126410/[/url]) 如何在 Windows 中从命令提示符处启动程序
相关的文章:
什么是组策略|活动目录域AD Group Policy Collection之一
组策略是一个允许您执行针对用户和计算机进行配置的基础架构。组策略设定包含在组策略对象中(GPOs),它们被链接到这些活动目录服务的容器:站点,域或者组织单元(OUs)。这些GPO中的设置随后利用活动目录的层级性质,实施于受影响的对象。因此,组策略是部署活动目录的一个最主要的原因之一,因为它能够让您方便的管理用户和计算机对象。
组策略是组管理技术之一,这些统称为IntelliMirror® 管理技术,即便用户从
网络中脱离,仍然可以在任意被管理的计算机上向用户提供统一的应用程序,应用程序设定,漫游用户配置文件以及用户用户数据。IntelliMirror 通过一组Microsoft® Windows® 功能得以实现,这包括活动目录,群组策略,软件安装,Windows Installer,文件夹重定向,脱机文件夹以及漫游用户配置文件。
这个集合包括如下组策略领域的内容:您看到的文章来自
活动目录seo
[url]http://gnaw0725.blogbus.com/c1404552/[/url]
• 核心群组策略
• 组策略组件
• 组策略管理工具
此章节介绍组策略管理的概念和结构,概述组策略集合的内容以及描述组策略设定。
组策略管理
管理员面对IT架构中日益复杂的挑战,您必须为各类员工发布、维护定制的桌面设定,如移动用户,信息工作者以及其他严格界定工作任务的用户,比如数据录入。安全设定和更新必须有效的传递给组织中的所有计算机和设备。而用户不必经过昂贵的培训就可以投入生产。在遭遇计算机崩溃或者灾难性事件中,服务必须在最小数据丢失和中断下恢复。所有这些任务,总所周知的改变和设置管理,必须尽可能低开小的情况下完成。您需要能够做到快速的执行变更以及对于大量用户和计算机实施。组策略就是允许您在活动目录中基于对象一级执行变更的基础结构。
您需要能够一次定义这些设置,依靠操作
系统强制执行状态。使用活动目录, 可以将GPOs 链接到站点,域以及,允许将组策略设置应用到用户和计算机。另外, 通过对于一些针对服务器操作和安全性的设定,GPOs 可以协助管理服务器。 这个基础架构具有很强的适应能力,允许您自定义配置,诸如为一个ou中,基于成员关系的用户,发布指定的软件。另外,组策略管理控制台(GPMC) 简化拉群组策略的执行和管理。
组策略结构
组策略采用一个中央文档的方法去创建,存储和关联组策略设置。与Microsoft Word 将信息存储在.doc 文件的发放相类似,组策略设置存储在GPO中。GPO 是个虚拟的对象 ,组策略设置信息存储在两个位置:链接GPO的活动目录容器和
域控制器上的Sysvol 。
设置组策略主要通过两个工具:组策略对象编辑器,(以前大家知道是使用组策略插件,组策略编辑器或者Gpedit) 和组策略管理控制台(GPMC),它们都可以从Microsoft 网站上下载到。组策略对象编辑器用户设置修改GPO中的设置,而 GPMC 用于创建、查看和管理GPO。 下图中展示了组策略架构,以及各祖尧组件是如何通过读写访问互相影响的。随后的表格中描述了各相关组件。
组策略结构
组策略组件
| 组件 | 描述 |
| 服务器 (域控制器) | 在活动目录森林中,域控制器是一台包含活动目录数据库的拷贝,参与活动目录复制以及控制网络资源访问服务器, |
| 活动目录 | 活动目录,基于Windows目录服务,存储网络中对象的信息,并将信息提供给用户和网络管理员。管理员将GPOs 链接到诸如站点,域和OUs 等包含了用户和计算机对象的容器上,从而将组策略设置实施于组织中的用户和计算机。 |
| 组策略对象(GPO) | GPO是一个组策路设置的集合,作为一个虚拟的对象存储在域中,由组策略容器(GPC) 和组策略模板(GPT)组成。GPC,包含GPO的属性信息,存储在域中每台域控制器活动目录中。GPT 包含GPO 的数据,存储在Sysvol 的 /Policies 子目录下。GPO能够影响包含在站点,域和OU中的用户和计算机。 |
| Sysvol | Sysvol 是一个共享目录,存储了域中公用文件的副本,此副本在域中所有的域控制器之间同步。 Sysvol 包含了GPO中的数据: GPT,包含了基于组策略设置,安全设置,脚本文件以及关于软件安装应用程序的相关信息的管理模板。它通过文件复制服务 (FRS)得以同步。 |
| 本地组策略对象 | 本地组策略对象(local GPO)存储在每台个人计算机上的%systemroot%\System32\GroupPolicy 目录下,具有隐藏属性。每一台运行Windows 2000, Windows XP Professional, Windows XP 64-Bit Edition, Windows XP Media Center Edition或者 Windows Server™ 2003 的计算机,不论它是否处于活动目录环境中,都设置了严格的local GPO。 |
| Local GPOs 不支持某些扩展,比如文件夹重定向或者软件安装组策略。也不支持一些安全性设定,但组策略对象编辑器的安全设定扩展不支持local GPO的远程管理。Local GPOs 始终在执行,但它在活动目录环境中影响力最小,因为基于活动目录的GPOs 优先。 | |
| 尽管您可以在个人计算机上设置local GPO,但组策略的完整功能只有在安装了活动目录的Windows Server 网络中方能得以实现。另外,一些功能和组策略设置在客户端需要Windows XP的支持 | |
| 组策略对象编辑器 | 组策略对象编辑器是一个微软管理控制台(MMC)单元,用于编辑GPO。 之前是组策略管理单元,组策略编辑器或者Gpedit. |
| 服务端管理单元 | MMC 管理单元默认情况下被组策略对象编辑器加载。当客户端扩展在目标客户端计算机上执行实际的策略设置的时候,服务端管理单元扩展提供用户接口,允许您设置不同的策略设置。 |
| 管理单元扩展包括管理模板,脚本,安全性设定,软件安装,文件夹重定向,远程安装服务,Internet Explorer 维护,磁盘配额,无线网络策勒以及QoS Packet Scheduler. 管理单元可以被扩展,比如安全设置管理单元包括几个扩展管理单元。开发者也可以创建他们自己的MMC扩展管理单元,使得足策略对象编辑器提供附加的组策略设置。 | |
| 客户端扩展 | 客户端扩展(CSEs) 在动态链接库 (DLLs)中运行,为组策略在客户端计算机上的执行负责。缺省状态下Windows Server 2003装载如下CSE: |
| 管理模板,无线网络策略,文件夹重定向,磁盘配额, QoS Packet Scheduler,脚本,安全, Internet Explorer 维护,EFS 恢复,软件安装以及IP 安全 | |
| 组策略管理控制台 (GPMC) | GPMC 是一个新的进行组策略单一化执行和管理工具。它由一个新的管理单元和组策略管理的脚本集合组成。组策略管理控制台提供: |
| • 一个基于如何定制使用和管理组策略的用户界面,这比之前基于技术如何构建要来的好。 | |
| • 导入/导出,复制/粘贴和GPO的搜索 | |
| • 组策略相关安全的单一化管理 | |
| • 对于GPO和策略结果集 (RSoP)数据的报表(对于GPO的打印,保存,只读访问) | |
| • GPO的备份/恢复 | |
| • 用此工具查看GPO操作脚本 (但不能查看GPO中设置的脚本). | |
| 策略结果集管理单元(RSoP) | 策略结果集 (RSoP) 管理单元是一个单一的组策略执行和错误排查的MMC 管理单元。RSoP 使用Windows管理规范 (WMI) 测定组策略设定是如何被应用到用户和计算机商的。对于RSoP功能性来说,它建议在GPMC中使用此报表功能。 |
| Winlogon | Windows 操作系统中提供交互式登陆支持的组件,Winlogon 是组策略引擎运行的服务。. |
| 组策略引擎 | 组策略引擎是一个扩越客户端扩展,包括组策路运作排程,从相关设置定位中获取GPO以及GPO的排序和过滤,处理共处理公用功能性的框架。 |
| 文件系统 | 存在于客户端计算机上的NTFS 文件系统 |
| 注册表 | 一个关于计算机设置信息的存储数据库,注册表包含系统操作期间Windows不断设计的信息,比如: |
| 1. 每个用户的配置文件。 | |
| 2. 安装在计算机上的程序和每个能够创建的文档类型。 | |
| 3. 文件夹和程序图标的属性设置。 | |
| 4. 系统硬件 | |
| 5. 使用中的端口 | |
| 注册表是树状层级组织,它由键及其子键,配置单元以及注册项构成。注册表引擎对于注册表具有读写权限。注册表设置可以通过组策略管理模板扩展来控制。 | |
| 事件日志 | 事件日志是一个服务,处于事件查看器,在系统,安全和应用程序日志中记录事件。组策略引擎对于客户端和域控制器上的事件日志具有写访问。 |
| 帮助和支持中心 | 帮助和支持中心是一个存在于每台计算机上的组件,为作用于计算机上的组策略设置提供HTML报表。 |
| 策略结果集 (RSoP) 基础结构 | 所有的组策略执行信息被收集、储存在本地计算机上的共用信息模型对象管理(CIMOM)数据库中,这个信息,例如列表、目录和每个GPO处理的详细记录,可以被使用WMI的工具访问。 |
| 在日志模式(组策略结果),RSoP 查询目标计算机上的CIMOM 数据库,获取关于策略的相关信息并将其显示在GPMC中。在规划模式(组策略模型), RSoP 虚拟出域控制器上使用组策勒目录访问服务(GPDAS)的策略运作环境,由GPDAS模仿GPO运作,并将它们传递给域控制器上的虚拟客户端扩展,这个模拟过程的结果在回传并显示在GPMC之前,存储在本地CIMOM 数据库中。 | |
| WMI | WMI是一个管理的基础架构,它支持通过一组公用界面实施系统资源的监视和控制,同时提供一个逻辑上有组织的,一致的Windows 操作、配置信息和状态模型。 |
| WMI收集目标计算机的相关数据用于管理用途,这些数据包括硬件和软件列表,设置和配置信息。例如:WMI公开诸如CPU,内存,磁盘空间,内存和厂商等硬件信息,从注册表,驱动程序,文件系统,活动目录,Windows Installer服务,网络配置和应用程序数据中获取软件信息。Windows Server2003上的WMI 过滤允许您给予这些数据创建查询,这些查询(也称为WMI过滤器)检测,在您创建顾虑其的地方,用户和计算机将会接受到的所有的策略设置。 |
转载于:https://blog.51cto.com/25125/75372
1957
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
