禁止更改IP地址

如果允许用户能够自己更改IP地址，就有可能和网络中其他计算机IP地址冲突。有些单位的网络管理员配置好计算机的IP地址后，不想让用户自己更改。以下示例将会演示禁止用户更改IP地址一种方法。

4.9.1示例：禁止用户更改IP地址

没有管理员权限的用户，默认就没有权限更改计算机的IP地址。本示例主要用于禁止管理员来更改计算机的IP地址，登录的用户都是计算机的管理员。

Network Connections服务管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。如果停止该服务，用户将不能访问本地连接来更改IP地址。

本示例能够控制包括本地用户和域用户、普通用户以及管理员来通过本地连接属性修改IP地址。

如果允许域管理能够修改客户计算机的IP地址，可以将Network Connections服务启动类型设置为“手动”，设置该服务的安全性只允许域管理员能够启动。

任务：

u 设置组策略将培训部门的计算机Network Connections设置成手动启动

u Network Connections只允许domain Admins组能够完全控制

u 重启培训部计算机eduPC1

u 以本地管理员登录eduPC1更改IP地址验证组策略设置

u 以域管理员登录eduPC1启动Network Connections服务更改IP地址

步骤：

1. 如图4-171所示，在DCServer上，打开组策略管理工具，右击链接在培训部组织单元的组策略eduGPO，点击“编辑”。

2. 如图4-172所示，在出现的组策略管理编辑器对话框，在计算机配置下，点中系统服务，在详细窗口，双击“Network Connections”。

图 4-171 编辑组策略 图 4-172 编辑组策略

3. 如图4-173所示，在出现的Network Connections属性对话框，选中“定义这个策略设置”，启动模式选中“手动”，点击“编辑安全设置”。

4. 如图4-174所示，在出现的安全设置Network Connections对话框，选中“SYSTEM”，点击“删除”。删除Administrators组，删除INTERACTIVE。点击“添加”。

图 4-173 编辑Network Connections属性 图 4-174 编辑安全性

5. 如图4-175所示，点击“添加”Domain Admins组，授予其完全控制。

6. 如图4-176所示，添加Everyone，选中“读取”。

图 4-175 编辑安全性 图 4-176 编辑安全性

7. 如图4-177所示，在eduPC1上以本地管理员登录。

8. 如图4-178所示，打开网络连接，看不到本地连接，但在命令提示符下输入ipconfig /all可以看到IP地址。因此用户不能打开本连接属性更改IP地址。

图 4-177 登录 图 4-178 查看本地连接

9. 如图4-179所示，点击“开始”à“运行”，输入services.msc，点击“确定”。

10. 如图4-179所示，打开服务管理工具，Network Connections服务为手动启动，右击Network Connection服务，可以看到没有权限停止或启动或重新启动。

11. 如图4-180所示，以域管理员登录eduPC1。

图 4-179 查看服务状态 图 4-180 登录

12. 如图4-181所示，登录后打开网络连接，不能看到本地连接。点击“运行”à“开始”，输入“services.msc”，点击“确定”。

13. 如图4-182所示，在出现的服务对话框，右击Network Connections服务，点击“启动”。域管理员有权启动。

图 4-181 查看本地连接 图 4-182 启动服务

14. 如图4-183所示，右击网络连接空白处，点击“刷新”。

15. 如图4-184所示，可以看到本地连接出现。现在域管理员可以更改本地连接的IP地址。

图 4-183 刷新 图 4-184 出现本地连接

总结：通过控制计算机的服务的启动模式和安全性，来控制计算机的行为。

广告