禁止域内用户修改IP与禁用“运行”(第六节)

1、禁止客户端更改IP地址:

在公司里为了减轻管理员的工作负担,一般情况下计算机的电脑IP地址都是由DHCP服务器给分配的,所以也就不需要用户来自己配置IP,既然不需要用户自己配置,所以就可以直接禁用掉用户对IP地址更改的权利,以免用户乱配置IP地址等信息,而造成计算机的网络故障。那么该如何实现,禁止用户更改IP呢?接下来讲解一下实验过程:

首先打开域控的组策略管理,在编辑域控制器的GPO,在计算机配置下展开策略—windows设置—安全设置,在安全设置下有一个系统服务,单击选中打开系统服务,在右面的众多服务中有一个Network Connetions服务,双击打开这项服务,在“定义此策略设置”前湖上对勾,并在下面的“选择服务启动模式”中选择“手动”,点击“编辑安全设置”,点击进入以后在“组或用户名”会有一些默认的,把这些默认的都删去,添加自己想要禁止修改IP的组或用户名,添加完成以后,在下面的权限中都选择读取权限,完成以后,点击确定,并退出组策略编辑器,在域控中刷新策略,当客户端重启以后,他的IP地址将不会改变,甚至在打开网络共享中心以后在打开更改适配器配置都看不见本地连接的网卡,这样就充分达到了,不让用户更改IP的目的。

2、禁用“运行”:

在域环境中对于域下用户来说,计算机上“运行”的使用是多余的,但是有时对于一些对计算机比较了解的公司员工来说,他可以运用计算机上的运行做许多事,为了方便管理员的管理,我们可以将“运行”禁用掉,这样一来就会变得方便了许多。下面讲解一下实现禁用“运行”的过程:

首先打开域控上的组策略管理,右击编辑Default Domain Policy,在用户配置下展开策略—管理模版—系统,点击打开“系统”在右面的策略中有一个“阻止访问命令提示符”的策略,双击打开这个策略,将这个策略启用,对于一般的用户来讲,管理员限制完这个策略以后就可以了,但是如果在用户中有计算机高手的话,他完全可以通访问编辑注册表来打开“运行”,所以为了安全起见,我们把“阻止访问命令提示符”这条策略下的“阻止访问注册表编辑工具”也启用,在启用“阻止访问注册表编辑工具”这条策略中有一个是否禁用无提示运行regedit选项,在这里选择“是”。然后点击应用、确定。

做完以上步骤后在域控刷新策略,在客户端重启以后,“运行”将不会被打开使用。