在一些單位裏,只允許部分電腦連外網,具體方式一般通過路由器設置規則,過濾MAC,IP或IP/MAC。一些童鞋們就憤懣不平了,爲啥他們能上網,我們不能上,主要方式是修改IP,MAC或使用軟件代理。在域控環境下,禁止這些是比較簡單的。如果網絡帶寬小,有多人使用P2P軟件的話,網絡會很卡。在中小企業裏,網絡只是輔助,用的都是工作組環境,而且一般網絡結構比較簡單,都是寬帶路由器+傻瓜型交換機或者下面再接幾個小交換機。在這樣的網絡環境裏,IP地址被修改、網絡協議被刪除和其他一些網絡設置被修改是很常見的,你就算知道他們是故意的你也沒有太好的辦法。遇到這種情況,除了行政手段,那只有通過技術手段,禁止用戶去修改。下面簡單談一下如下利用組策略禁止修改IP等網絡設置。
1.禁止訪問網絡協議屬性
這個主要是禁止用戶私自修改IP,把訪問網絡協議屬性的功能禁用掉,這樣用戶即使想改也改不了。具體操作如下:
在開始菜單“運行”中輸入“gpedit.msc”確定,運行組策略編輯器,在組策略左邊框中依次找到“用戶配置”――“管理模板”――“網絡”――“網絡連接”(如圖),然後在右邊的邊框中找到並雙擊“禁止訪問LAN連接組件的屬性”在彈出的窗口中把它設置爲“已啓用”,然後點擊“確定”,用命令“gpupdate /force”更新組策略後,用戶就不能私自修改IP了。
2.禁止啓用/停用網卡
按上面方法把“啓用/禁用 LAN 連接的能力”設置爲“已禁用”後確定即可。更新組策略就可以了。
3.禁止安裝和卸載網絡協議
按上面方法把“禁止添加或刪除用於 LAN 連接或遠程訪問連接的組件”在彈出的窗口中把它設置爲“已啓用”,然後點擊“確定”。更新組策略就可以了。
通過以上操作可以禁止訪問網絡協議屬性,禁止啓用/停用網卡,禁止安裝和卸載網絡協議。
順便談下克隆MAC上網的問題,這種主要是因爲路由器裏過濾了MAC上網。克隆MAC上網電腦多的情況下,比較難查,不過可以綁定每臺的IP/MAC來預防。可以在命令提示符下輸入命令:ARP - s IP MAC,即可把MAC地址和IP地址捆綁在一起。具體可以把這個命令保存到.BAT文件,然後放到啓動項裏。禁止修改MAC,我還沒找到方法。
如果是通過代理軟件上網的話,可以通過網管軟件,比如說聚生網管之類,就可以查出來。
最後還是配合行政手段來吧,沒什麼好的辦法,因爲在這樣的網絡環境,突破限制上網還是比較簡單的,網上的教程太多了。