引言：對于普通上網(wǎng)終端的維護(hù)，如果身邊沒有外力工具的幫助，管理員如何通過系統(tǒng)自帶的網(wǎng)絡(luò)管理功能，確保終端的網(wǎng)絡(luò)的連接穩(wěn)定呢？

對單位網(wǎng)絡(luò)進(jìn)行高效管理維護(hù)，是每位網(wǎng)絡(luò)管理員的工作職責(zé)。下面本文就利用平時不起眼的系統(tǒng)組策略，巧妙管理終端系統(tǒng)的網(wǎng)絡(luò)連接，確保對應(yīng)系統(tǒng)的上網(wǎng)訪問高效穩(wěn)定！

防止連接脫離控制

進(jìn)行在線培訓(xùn)或網(wǎng)絡(luò)演示時，有些終端用戶會通過點(diǎn)擊網(wǎng)絡(luò)連接狀態(tài)中的“禁用”按鈕，切斷終端系統(tǒng)的網(wǎng)絡(luò)連接，從而達(dá)到管理人員或培訓(xùn)人員無法控制終端系統(tǒng)的目的。

為了防止終端網(wǎng)絡(luò)連接脫離控制，我們可以修改終端系統(tǒng)的組策略參數(shù)，讓普通終端用戶無法隨意禁用網(wǎng)絡(luò)連接：

首先，打開上網(wǎng)終端的“開始”菜單，單擊“運(yùn)行”命令，從彈出的系統(tǒng)運(yùn)行對話框中，輸入“gpedit.msc”命令，展開系統(tǒng)組策略控制臺窗口。在左側(cè)顯示區(qū)域，逐一點(diǎn)選“本地計算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)連接”子項(xiàng)，找到它們下面的“為管理員啟用Windows 2000 網(wǎng)絡(luò)連接設(shè)置”，雙擊切換到如 圖1所示的組策略屬性對話框。勾選“已啟用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。這樣可以確保 Windows 2000 Server系列中的已有“網(wǎng)絡(luò)連接”組設(shè)置將適用于管理員，同時該組設(shè)置也存在于Windows XP Professional系 統(tǒng)中。

圖 1 網(wǎng)絡(luò)連接設(shè)置

圖 2 LAN連接能力的設(shè)置

默認(rèn)狀態(tài)下，“網(wǎng)絡(luò)連接”組設(shè)置，無法實(shí)現(xiàn)禁止終端用戶使用特定功能的目的，現(xiàn)在啟用了該配置后，就能具有禁止管理員使用某些功能的能力。

接著返回到“本地計算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”子項(xiàng)上，雙擊該子項(xiàng)下的“啟用/禁用LAN連接的能力”組策略，彈出如圖2所示的組策略屬性對話框，勾選“已禁用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。

這時無論是系統(tǒng)管理員權(quán)限的用戶，還是普通權(quán)限的用戶，都將無法使用網(wǎng)絡(luò)連接狀態(tài)中的禁用功能。

值得注意的是，倘若之前沒有啟用“為管理員啟用Windows 2000 網(wǎng)絡(luò)連接設(shè)置”功能，那么禁用“啟用/禁用LAN連接的能力”組策略的配置操作，將不適用于Windows 2000以后版本系統(tǒng)管理員。所以，要想讓所有版本系統(tǒng)的管理員都不能隨意禁用網(wǎng)絡(luò)連接，必須先要啟用“為管理員啟用Windows 2000 網(wǎng)絡(luò)連接設(shè)置”組策略。

防止連接設(shè)置破壞

在組網(wǎng)規(guī)模有限的單位網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)管理員常常會為終端計算機(jī)分配一個固定IP地址，不過這種地址分配方式，很容易引起地址沖突故障，造成單位網(wǎng)絡(luò)運(yùn)行不穩(wěn)定。

因?yàn)槠胀ㄉ暇W(wǎng)用戶通過設(shè)置本地連接的屬性參數(shù)，就能輕松讓一臺終端計算機(jī)的IP地址與另外一臺終端計算機(jī)的IP地址相同。為了防止網(wǎng)絡(luò)連接設(shè)置受到隨意破壞，我們不妨進(jìn)行如下設(shè)置操作，限制普通終端用戶隨意調(diào)整上網(wǎng)參數(shù)：

圖 3 禁止訪問LAN連接

首先逐一單擊“開始”、“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)顯示區(qū)域，將鼠標(biāo)定位到“本地計算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”子項(xiàng)上，雙擊指定子項(xiàng)下面的“禁止訪問LAN連接的屬性”組策略選項(xiàng)，彈出如圖3所示的組策略屬性對話框。勾選其中的“已啟用”選項(xiàng)，按下“確定”按鈕保存好上述設(shè)置操作即可。

為了防止管理員權(quán)限的用戶隨意更改網(wǎng)絡(luò)連接設(shè)置，我們還要打開“為管理員啟用Windows 2000 網(wǎng)絡(luò)連接設(shè)置”組策略屬性對話框，選中“已啟用”選項(xiàng)，確認(rèn)后就能讓所有用戶無法打開本地連接屬性菜單，也就無法進(jìn)入本地連接屬性對話框，隨意修改上網(wǎng)設(shè)置了。

值得注意的是，這里設(shè)置的優(yōu)先級高于局域網(wǎng)連接屬性對話框中的功能性配置，當(dāng)啟用了“禁止訪問LAN連接的屬性”組策略功能后，普通上網(wǎng)用戶將無法使用局域網(wǎng)連接屬性對話框中的所有功能，但是可以查看其中的配置參數(shù)，參數(shù)內(nèi)容不可以隨意修改。

防止隨意連接訪問

在多人共用一臺終端計算機(jī)的情況下，很多人會隨意進(jìn)行上網(wǎng)連接訪問，一旦訪問到那些不安全網(wǎng)站，潛藏在這些網(wǎng)站背后的病毒或木馬，可能會給終端計算機(jī)系統(tǒng)帶來不小的危害。

為了防止終端系統(tǒng)被病毒或木馬程序襲擊，我們不妨通過設(shè)置終端系統(tǒng)的組策略參數(shù)，來讓終端系統(tǒng)僅在規(guī)定安全區(qū)域進(jìn)行上網(wǎng)連接，下面就是詳細(xì)的操作步驟：

首先，依次單擊“開 始”、“運(yùn) 行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。

在組策略編輯窗口右側(cè)位置，將鼠標(biāo)定位在“本地計算機(jī)策略”、“用戶配置”、“Windows設(shè) 置”、“Internet Explorer維 護(hù)”、“安全”分支上，雙擊指定分支下的“安全區(qū)域和內(nèi)容分級”組策略選項(xiàng)，彈出如圖4所示的組策略屬性框。

其次，勾選“安全區(qū)域和隱私”設(shè)置項(xiàng)處的“導(dǎo)入當(dāng)前安全區(qū)域設(shè)置”，按下“修改設(shè)置”按鈕。然后根據(jù)實(shí)際訪問情況設(shè)置好網(wǎng)絡(luò)連接安全區(qū)域，確認(rèn)后保存設(shè)置操作。

這時，普通用戶日后在終端系統(tǒng)中上網(wǎng)連接時，將只能在規(guī)定區(qū)域內(nèi)進(jìn)行安全連接，而不允許隨意進(jìn)行網(wǎng)絡(luò)連接，這樣終端系統(tǒng)安全性就能得到保障了。

圖 4 安全區(qū)域和內(nèi)容分級

圖 5 禁止查看活動連接狀態(tài)

防止查看連接狀態(tài)

大家知道，網(wǎng)絡(luò)連接狀態(tài)能從連接狀態(tài)對話框或系統(tǒng)任務(wù)欄右下方區(qū)域的連接圖標(biāo)處查看到。有時在特定場合下，我們并不希望普通用戶查看到有關(guān)網(wǎng)絡(luò)連接及其活動狀態(tài)信息。這時可以進(jìn)行如下設(shè)置步驟，來防止終端用戶隨意查看連接狀態(tài)：

首先，依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。

在組策略編輯窗口右側(cè)位置，將鼠標(biāo)定位到“本地計算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng) 絡(luò)”、“網(wǎng) 絡(luò) 連接”子項(xiàng)上，找到指定子項(xiàng)下面的“禁止查看活動連接的狀態(tài)”組策略選項(xiàng)，雙擊打開如圖5所示的組策略屬性對話框。

其次，勾選“已啟用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。這樣對于終端用戶或管理員來說，本地系統(tǒng)的連接狀態(tài)對話框或連接狀態(tài)任務(wù)欄圖標(biāo)將不可用。并且打開網(wǎng)絡(luò)連接文件夾窗口時，“文件”菜單上的“狀態(tài)”選項(xiàng)將處于失效狀態(tài)。

值得注意的是，要是禁用了或者沒有配置“為管理員啟用網(wǎng)絡(luò)連接設(shè)置”組策略，那么該設(shè)置將不適用于Windows 2000以后版本系統(tǒng)的管理員。

刪除所有訪問連接

不少管理員總喜歡啟用Windows系統(tǒng)中的遠(yuǎn)程訪問連接功能，來提高單位局域網(wǎng)終端系統(tǒng)的管理維護(hù)效率。但是，啟用遠(yuǎn)程訪問連接功能很容易被惡意用戶利用，從而令終端計算機(jī)受到破壞。

遇到這種情況時，管理員可以按照下面的操作，快速斷開所有上網(wǎng)連接：

首先，依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在組策略編輯窗口左側(cè)區(qū)域，將鼠標(biāo)定位到“本地計算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”分支上。雙擊指定分支下的“刪除所有用戶遠(yuǎn)程訪問連接”組策略，展開如圖6所示的組策略屬性對話框。

其次，勾選這里的“已啟用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。

日后，當(dāng)看到終端計算機(jī)系統(tǒng)突然反應(yīng)遲鈍時，管理員不妨打開對應(yīng)系統(tǒng)的任務(wù)管理器窗口，在用戶選項(xiàng)設(shè)置頁面中，用鼠標(biāo)右擊所有遠(yuǎn)程連接用戶賬號，點(diǎn)選右鍵菜單中的“斷開”命令，使所有遠(yuǎn)程連接與本地系統(tǒng)的網(wǎng)絡(luò)連接快速斷開。

圖 6 刪除所有用戶遠(yuǎn)程訪問連接

圖 7 禁止訪問新建連接向?qū)?/p>

謹(jǐn)防網(wǎng)絡(luò)連接被新建

正常來說，單位內(nèi)網(wǎng)環(huán)境對上網(wǎng)安全性要求較高，很多管理員用戶在特定時間段內(nèi)，會刪除特定網(wǎng)絡(luò)連接，來防止普通用戶的自由上網(wǎng)訪問。

不過，有些技術(shù)水平的上網(wǎng)用戶，常常不理會管理員的辛苦努力，常悄悄創(chuàng)建網(wǎng)絡(luò)連接進(jìn)行上網(wǎng)訪問。為了謹(jǐn)防網(wǎng)絡(luò)連接被新建，管理員可以對終端計算機(jī)系統(tǒng)進(jìn)行下面的管理操作：

首先，依次單擊“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。

在該編輯窗口左側(cè)顯示區(qū)域，將鼠標(biāo)定位到“本地計算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”分支上，從指定分支下雙擊“禁止訪問‘新建連接向?qū)А苯M策略選項(xiàng)，進(jìn)入如圖7所示的組策略屬性設(shè)置框。

其次，勾選這里的“已啟用”選項(xiàng)，確認(rèn)后保存設(shè)置操作。

這樣，普通上網(wǎng)用戶日后想要悄悄建立網(wǎng)絡(luò)，連接上網(wǎng)時，將會得到網(wǎng)絡(luò)連接無法創(chuàng)建成功的結(jié)果。