组策略限制用户修改ip地址.doc

在很多中小企业的网络环境中，网管通常为客户机分配静态IP地址，然后针对不同的IP地址设置相应的权限。正是由于不同的IP地址具有不同的权限，所以企业中常有人通过修改IP地址来获取某种权限。这种行为是不正当的，还会引发IP地址冲突等问题，因此常常困扰着网管。用一种合适的方法限制用户修改IP地址是解决这一问题的良方。通常用的方法是给用户user权限，不给管理员权限，可达到目的，也可采用下面的方法，注册表法和组策略方法。 Windows 2000server里的组策略无法完善的实现禁止用户修改IP(客户端为Win2000Professional时生效,但对客户端为XP系统时就不生效了).但Windows2000 Server可以使用组策略及脚本停用Netcfgx.dll，Netshell.dll和Netman.dll三个动态库文件来现实此功能.??在Windows 2000/XP中存在Netcfgx.dll，Netshell.dll和Netman.dll三个动态库文件，它们实际上是系统控件，在Windows 2000/XP的安装过程中会自动注册这些控件。这三个控件和Windows 2000/XP的网络功能紧密相关。当修改IP地址时，就需要用到这三个控件。因此，只要将上述三个控件卸载，就可以屏蔽网络连接窗口，这样无论是双击桌面上的网上邻居图标，还是在控制面板中双击“网络连接”项，都无法正常进入网络连接窗口，也就无法在本地连接属性窗口中修改IP地址了。 　　在“开始/运行”中输入“Cmd.exe”，确认后打开CMD窗口，在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令，就可以将上述控件从系统中卸载。当然，如果以后需要修改IP地址的话，可以上述控件逐一注册即可。注册的方法很简单，只要将上述命令中的“/u”参数去掉，就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。??相关知识:?域用户属性，登陆脚本或者OU中建组策略，用户配置----windows设置----脚本---登陆脚本，按“添加”，加入脚本或者“显示文件”，打开目录后把脚本复制进去。?(? 注:? 可把“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”三个命令编辑为批处理文件，使用以登陆脚本来运行即可。（只对2000Pro和XP系统有效，对2003系统无效。）)已知条件：要在用户John机器启动时候运行John.bat。?将要运行的配置文件John.bat放置在主域控制器的下列文件夹中（假定你将W2K AD Server 安装在C：\WINNT目录）：C:\WINNT\SYSVOL\sysvol\\scripts, 然后在john（用户名）-属性-配置文件中进行如下设置： 配置文件路径： 什么都不填登录脚本：john.bat 1、在DC上鼠标右击“我的电脑”----管理----共享文件夹，确保共享名为Netlogon的对应目录指向C:\WINNT\SYSVOL\sysvol\\scripts;2、在用户John的电脑注销、登录，搞定。 如何使用 Start.exe 命令行工具在前台运行域登录脚本默认情况下，登录脚本在后台运行。您可以使用 Start.exe 命令行工具在运行 Windows 的计算机上运行本地和域登录脚本。 更多信息?要使用 Start.exe 创建在前台运行的域登录脚本，请创建一个名为 Logon.bat 的文件，该文件包含您要运行的命令。然后，创建一个名为 Newfile.bat 的文件来调用 Logon.bat 文件。将这两个文件放在域控制器上的 Netlogon 共享中。在基于 Windows 的域中，在 Microsoft 管理控制台 (MMC) 中启动“Active Directory 用户和计算机”工具，然后配置用户以将 Newfile.bat 文件用作登录脚本。 注意：在基于 Microsoft Windows NT 4.0 的域中，启动“域用户管理器”工具，然后配置用户以将 Newfile.bat 文件用作登录脚本。 在 Newfile.bat 文件中包含下面一行： start /max logon.bat 当用户登录时，登录脚本就会在前台运行。 注意：本文中使用的文件名 Logon.bat 和 Newfile.bat 仅用于说明。您可以使用其他文件名。 ?用于基于 Windows 的客户端的首选方法对于基