在很多中小企业的网络环境中,网管通常为客户机分配静态IP地址,然后针对不同的IP地址设置相应的权限。正是由于不同的IP地址具有不同的权限,所以企业中常有人通过修改IP地址来获取某种权限。这种行为是不正当的,还会引发IP地址冲突等问题,因此常常困扰着网管。用一种合适的方法限制用户修改IP地址是解决这一问题的良方。
本文以Windwos 2000系统为例,通过修改微软操作系统的组策略设置来限制用户修改IP地址。本方法适用于Windows 2000和Windows XP等系统。
1.单击“开始→运行”,在文本框中输入命令“GPEDIT.MSC”后,单击“确定”按钮。(如图1)
图1 运行GPEDIT.MSC
2.在“组策略”(或“组策略编辑器”)窗口中,依次展开左侧子窗口中的“本地计算机策略→用户配置→管理模板→网络→网络及拨号连接”项目。(如图2)
图2 在组策略编辑器中进行设置
3.双击右侧子窗口中的“禁止访问LAN连接的属性”选项,在新弹出的“禁止访问LAN连接的属性”窗口中,单选“启用”选项,单击“确定”按钮。(如图3)
图3 设置“禁止访问LAN连接的属性”
4.关闭“组策略”窗口(如果要开放修改IP地址权限,只需将图3中的“未配置”单选项选中即可)。
5.验证效果。双击系统托盘上的本地连接图标,属性按钮已经变成灰色(如图4),无法打开网络属性,自然也就不能修改IP地址。需要说明的是,必须事先在本地连接的属性框中选择“连接后在任务栏中显示图标”。(见图5)
图4“本地连接”的属性已无法修改
图5 如图进行相关设置,以使“本地连接”图标显示在任务栏中
防止用户修改IP地址的方法还有停止服务法(停止“Network Connections”服务)、反注册动态连接库法(反注册Netcfgx.dll、Netshell.dll和Netman.dll文件)等。但是笔者推荐本文介绍的组策略法,主要是基于以下两个原因:第一,用停止服务法和反注册动态连接库法,必须重启操作系统才能生效,而用组策略法,一旦设置成功,无需重启操作系统,立即生效。第二,用户在查看网络本地连接状态时,通常会通过观察系统托盘上的“本地连接”图标来直观地判断网络连接情况,还可以双击该图标了解数据包收发的情况。使用停止服务法或反注册动态连接库法,“本地连接”图标将不会出现在系统托盘上,而使用组策略法不会影响“本地连接”图标的显示。
通过以上方法限制用户修改IP地址后,如果需要知道本机的IP地址,只需要单击“开始→运行”,在“打开”下拉文本框中输入命令“CMD”后,单击“确定”按钮。在打开的命令行窗口内,输入命令“ipconfig -all”,即可查看本机的IP地址等信息。