公司新上一个系统,要求将普通域user账号添加到本地administrator组。如此一来,客户端用户权限将难以控制,比如擅自更改ip,安装软件,上QQ及使用P2P下载等问题。下面,就使用域策略禁止用户更改ip的问题做一些探讨。
众所周之,普通user帐户是无法更改ip的,提升为administrator之后,就相应的获得该权限。基于管理以及安全性的需要,对该权限应予以禁用。
目前status:域控为2003,客户端为xp,域user账号加入本地administrators组,需禁用该账号更改ip的权限。经本人虚拟机试验通过,至少可以使用以下两种方法:
方法一:为该user创建策略,做以下编辑:
用户配置-->管理模板-->网络-->网络连接,将右框的“禁止访问LAN连接组件的属性”以及“为管理员启用WINDWOS 2000 网络连接设置”这两项启用(注:必须启用第二项,否则设置无效,这就是目前网上流传的方法无效的原因!)。
在客户机运行gpupdate /force,刷新策略后可看到如下效果,不能查看及更改tcp/ip属性:
方法二:为该user创建策略,做以下编辑:
用户配置-->管理模板-->网络-->网络连接,将右框的“禁止访问LAN连接的属性”以及“为管理员启用WINDWOS 2000 网络连接设置”这两项启用(注:必须启用第二项,否则设置无效,这就是目前网上流传的方法无效的原因!)
在客户机运行gpupdate /force,刷新策略后可看到如下效果,不能查看本地连接属性:
至此,完成策略配置,实现禁止客户端更改ip功能。功德圆满,阿弥陀佛~~