引言：在管理維護局域網的過程中，很多管理員都有這樣的體會，網絡管理的難點不在服務器系統(tǒng)，而是在于形形色色的終端系統(tǒng)，常常給網絡運維操作帶來不可預知的麻煩。為了確保網絡運行穩(wěn)定，我們需要控制終端用戶的一些操作權限，不讓可能存在的“暗礁”影響網絡工作狀態(tài)。

控制共享認證

為了維護整個網絡的運行穩(wěn)定，我們不妨進行如下設置操作，修改Windows系統(tǒng)默認的共享訪問模式，不讓終端用戶私自跳過共享認證：

圖1 選項設置duihuak

首先以超級用戶權限登錄共享資源所在主機系統(tǒng)，依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該界面左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設置”、“安 全設置”、“本地策略”、“安全選項”節(jié)點上，找到該節(jié)點下的“網絡訪問:本地帳戶的共享和安全模型”組策略。

其次用鼠標雙擊目標組策略選項，彈出如圖1所示的選項設置對話框，選中“經典—對本地用戶進行身份驗證，不改變其本來身份”選項，單擊“確定”按鈕退出設置對話框。這樣，Windows系統(tǒng)日后就會不允許用戶私自跳過共享訪問驗證了。

控制自由BT下載

如果讓終端用戶私自在自己的計算機系統(tǒng)中進行惡意BT下載操作時，那么局域網的上網出口帶寬資源很容易被過度消耗掉，嚴重的時候能影響整個局域網的運行穩(wěn)定。為了防止上述現象影響網絡穩(wěn)定，我們必須嚴格限制終端用戶在終端系統(tǒng)中私自進行BT下載操作，確保網絡帶寬資源得到有效保護，詳細的設置步驟如下：

首先逐一點擊“開始”、“運行”選項，展開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”節(jié)點上，用鼠標右鍵單擊“軟件限制策略”選項，執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令。

下面依次選中“軟件限制策略”、“強制”選項，并用鼠標雙擊目標選項，選中“所有用戶”選項，確認后保存設置操作。再打開“其他規(guī)則”選項的右鍵菜單，單擊“新建路徑規(guī)則”命令，按下“瀏覽”按鈕，將迅雷下載、網際快車之類的BT工具選中并添加進來，同時將“安全級別”參數設置為“不允許”（如圖2所示），確認后退出設置對話框即可。

圖2 路徑設置對話框

圖3 Don't Sleep界面

控制隨意執(zhí)行關機

有的終端用戶在訪問完服務器系統(tǒng)中的共享資源后，有時會下意識地對其執(zhí)行關機操作，這容易給局域網中的其他終端用戶共享訪問帶來干擾。為了保證服務器訪問穩(wěn)定，我們可以通過“Don't Sleep”這款外力工具，控制普通權限的終端用戶，不能私自注銷、重啟、關閉局域網中的服務器系統(tǒng)，以避免服務器系統(tǒng)被私自關閉現象。

開啟“Don't Sleep”工具的運行狀態(tài)后，選中如圖3所示界面中“Blocking”設置項處的所有選項，同時選中“Enabled”選 項，按 下“Options”按 鈕，切換 到“Don't Sleep”工 具的選項設置對話框，選中“Start Don't Sleep with Windows”選項，讓目標工具日后可以跟隨Windows系統(tǒng)一起自動啟動。

要是開啟了服務器系統(tǒng)中的自動開關機功能，要求每天早晨8點鐘自動啟動運行，晚上9點鐘自動執(zhí)行關機操作，這就意味著在每天8點鐘到21點鐘這一時間范圍內，終端用戶是不能私自關閉服務器系統(tǒng)的。

要實現上述控制目的，不妨選中“Timer”位置處的“Use Timer”選項，同時按下“#”按鈕，選中其后菜單中的“10h”選項，按下“OK”按鈕退出設置對話框。接著單擊“To-Tray”按鈕，讓“Don't Sleep”工具躲到系統(tǒng)后臺運行，這樣服務器系統(tǒng)在正常運行期間，就不會發(fā)生被終端用戶私自關閉現象了。即使有終端用戶因為操作不小心，意外按下“關閉”系統(tǒng)命令，服務器系統(tǒng)也不會自動執(zhí)行關機操作，仍然會繼續(xù)正常運行。

控制胡亂創(chuàng)建連接

如果對上網安全性要求很高，那管理員肯定不希望終端用戶私自創(chuàng)建網絡連接，隨意進行上網訪問，而只希望他們使用事先指定的專用連接上網。那么如何才能限制終端用戶隨意創(chuàng)建連接上網訪問呢？只要進行如下設置操作，關閉網絡連接創(chuàng)建向導功能，就能輕松達到不讓私自創(chuàng)建網絡連接目的了：

首先依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入字符串命令“gpedit.msc”并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側列表中，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”節(jié)點上，找到指定節(jié)點下的“禁止訪問‘新建連接向導’”組策略選項，并用鼠標雙擊之，彈出如圖4所示的組策略選項設置對話框。

圖4 組策略選項設置對話框

圖5 組策略屬性對話框

接著查看該選項設置對話框中的“已啟用”選項是否已被選中，如果發(fā)現其沒有被選中時，應該及時重新選中它，確認后退出設置對話框。這樣一來，普通用戶日后嘗試自行創(chuàng)建網絡連接上網訪問時，就會看到網絡連接不能創(chuàng)建成功。

控制擅自降低等級

使用過Windows 2008系統(tǒng)的用戶都知道，該系統(tǒng)默認會使用較高的安全等級進行上網訪問，以避免潛藏在網頁背后的病毒木馬攻擊服務器系統(tǒng)。不過，在默認狀態(tài)下上網訪問時，用戶一般會感覺到上網不順暢，為此很多用戶會私自降低對應系統(tǒng)的安全訪問等級，這容易給局域網的穩(wěn)定運行帶來很大威脅。為了避免這種現象的發(fā)生，我們不妨進行下面的設置操作，來禁止終端用戶自由調整上網安全等級：

首先以超級用戶權限登錄Windows 2008系統(tǒng)，逐一點擊“開始”、“運行”選項，展開系統(tǒng)運行文本框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。

在該編輯界面左側列表中，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”節(jié)點上，找到該節(jié)點下面的“禁用安全頁”組策略選項。

接著用鼠標雙擊目標組策略，彈出如圖5所示的組策略屬性對話框，選中“已啟用”選項，確認后保存設置操作。這樣，普通用戶日后就能進入Internet Explorer的“安全”選項設置頁面，私自調整安全訪問等級配置了，那么終端系統(tǒng)自然也就不會被輕易攻擊了。