引言：在管理維護(hù)局域網(wǎng)的過程中，很多管理員都有這樣的體會(huì)，網(wǎng)絡(luò)管理的難點(diǎn)不在服務(wù)器系統(tǒng)，而是在于形形色色的終端系統(tǒng)，常常給網(wǎng)絡(luò)運(yùn)維操作帶來不可預(yù)知的麻煩。為了確保網(wǎng)絡(luò)運(yùn)行穩(wěn)定，我們需要控制終端用戶的一些操作權(quán)限，不讓可能存在的“暗礁”影響網(wǎng)絡(luò)工作狀態(tài)。

控制共享認(rèn)證

為了維護(hù)整個(gè)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定，我們不妨進(jìn)行如下設(shè)置操作，修改Windows系統(tǒng)默認(rèn)的共享訪問模式，不讓終端用戶私自跳過共享認(rèn)證：

圖1 選項(xiàng)設(shè)置duihuak

首先以超級(jí)用戶權(quán)限登錄共享資源所在主機(jī)系統(tǒng)，依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該界面左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安 全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“網(wǎng)絡(luò)訪問:本地帳戶的共享和安全模型”組策略。

其次用鼠標(biāo)雙擊目標(biāo)組策略選項(xiàng)，彈出如圖1所示的選項(xiàng)設(shè)置對(duì)話框，選中“經(jīng)典—對(duì)本地用戶進(jìn)行身份驗(yàn)證，不改變其本來身份”選項(xiàng)，單擊“確定”按鈕退出設(shè)置對(duì)話框。這樣，Windows系統(tǒng)日后就會(huì)不允許用戶私自跳過共享訪問驗(yàn)證了。

控制自由BT下載

如果讓終端用戶私自在自己的計(jì)算機(jī)系統(tǒng)中進(jìn)行惡意BT下載操作時(shí)，那么局域網(wǎng)的上網(wǎng)出口帶寬資源很容易被過度消耗掉，嚴(yán)重的時(shí)候能影響整個(gè)局域網(wǎng)的運(yùn)行穩(wěn)定。為了防止上述現(xiàn)象影響網(wǎng)絡(luò)穩(wěn)定，我們必須嚴(yán)格限制終端用戶在終端系統(tǒng)中私自進(jìn)行BT下載操作，確保網(wǎng)絡(luò)帶寬資源得到有效保護(hù)，詳細(xì)的設(shè)置步驟如下：

首先逐一點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng)，展開系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”節(jié)點(diǎn)上，用鼠標(biāo)右鍵單擊“軟件限制策略”選項(xiàng)，執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令。

下面依次選中“軟件限制策略”、“強(qiáng)制”選項(xiàng)，并用鼠標(biāo)雙擊目標(biāo)選項(xiàng)，選中“所有用戶”選項(xiàng)，確認(rèn)后保存設(shè)置操作。再打開“其他規(guī)則”選項(xiàng)的右鍵菜單，單擊“新建路徑規(guī)則”命令，按下“瀏覽”按鈕，將迅雷下載、網(wǎng)際快車之類的BT工具選中并添加進(jìn)來，同時(shí)將“安全級(jí)別”參數(shù)設(shè)置為“不允許”（如圖2所示），確認(rèn)后退出設(shè)置對(duì)話框即可。

圖2 路徑設(shè)置對(duì)話框

圖3 Don't Sleep界面

控制隨意執(zhí)行關(guān)機(jī)

有的終端用戶在訪問完服務(wù)器系統(tǒng)中的共享資源后，有時(shí)會(huì)下意識(shí)地對(duì)其執(zhí)行關(guān)機(jī)操作，這容易給局域網(wǎng)中的其他終端用戶共享訪問帶來干擾。為了保證服務(wù)器訪問穩(wěn)定，我們可以通過“Don't Sleep”這款外力工具，控制普通權(quán)限的終端用戶，不能私自注銷、重啟、關(guān)閉局域網(wǎng)中的服務(wù)器系統(tǒng)，以避免服務(wù)器系統(tǒng)被私自關(guān)閉現(xiàn)象。

開啟“Don't Sleep”工具的運(yùn)行狀態(tài)后，選中如圖3所示界面中“Blocking”設(shè)置項(xiàng)處的所有選項(xiàng)，同時(shí)選中“Enabled”選 項(xiàng)，按 下“Options”按 鈕，切換 到“Don't Sleep”工 具的選項(xiàng)設(shè)置對(duì)話框，選中“Start Don't Sleep with Windows”選項(xiàng)，讓目標(biāo)工具日后可以跟隨Windows系統(tǒng)一起自動(dòng)啟動(dòng)。

要是開啟了服務(wù)器系統(tǒng)中的自動(dòng)開關(guān)機(jī)功能，要求每天早晨8點(diǎn)鐘自動(dòng)啟動(dòng)運(yùn)行，晚上9點(diǎn)鐘自動(dòng)執(zhí)行關(guān)機(jī)操作，這就意味著在每天8點(diǎn)鐘到21點(diǎn)鐘這一時(shí)間范圍內(nèi)，終端用戶是不能私自關(guān)閉服務(wù)器系統(tǒng)的。

要實(shí)現(xiàn)上述控制目的，不妨選中“Timer”位置處的“Use Timer”選項(xiàng)，同時(shí)按下“#”按鈕，選中其后菜單中的“10h”選項(xiàng)，按下“OK”按鈕退出設(shè)置對(duì)話框。接著單擊“To-Tray”按鈕，讓“Don't Sleep”工具躲到系統(tǒng)后臺(tái)運(yùn)行，這樣服務(wù)器系統(tǒng)在正常運(yùn)行期間，就不會(huì)發(fā)生被終端用戶私自關(guān)閉現(xiàn)象了。即使有終端用戶因?yàn)椴僮鞑恍⌒模馔獍聪隆瓣P(guān)閉”系統(tǒng)命令，服務(wù)器系統(tǒng)也不會(huì)自動(dòng)執(zhí)行關(guān)機(jī)操作，仍然會(huì)繼續(xù)正常運(yùn)行。

控制胡亂創(chuàng)建連接

如果對(duì)上網(wǎng)安全性要求很高，那管理員肯定不希望終端用戶私自創(chuàng)建網(wǎng)絡(luò)連接，隨意進(jìn)行上網(wǎng)訪問，而只希望他們使用事先指定的專用連接上網(wǎng)。那么如何才能限制終端用戶隨意創(chuàng)建連接上網(wǎng)訪問呢？只要進(jìn)行如下設(shè)置操作，關(guān)閉網(wǎng)絡(luò)連接創(chuàng)建向?qū)Чδ?，就能輕松達(dá)到不讓私自創(chuàng)建網(wǎng)絡(luò)連接目的了：

首先依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入字符串命令“gpedit.msc”并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”節(jié)點(diǎn)上，找到指定節(jié)點(diǎn)下的“禁止訪問‘新建連接向?qū)А苯M策略選項(xiàng)，并用鼠標(biāo)雙擊之，彈出如圖4所示的組策略選項(xiàng)設(shè)置對(duì)話框。

圖4 組策略選項(xiàng)設(shè)置對(duì)話框

圖5 組策略屬性對(duì)話框

接著查看該選項(xiàng)設(shè)置對(duì)話框中的“已啟用”選項(xiàng)是否已被選中，如果發(fā)現(xiàn)其沒有被選中時(shí)，應(yīng)該及時(shí)重新選中它，確認(rèn)后退出設(shè)置對(duì)話框。這樣一來，普通用戶日后嘗試自行創(chuàng)建網(wǎng)絡(luò)連接上網(wǎng)訪問時(shí)，就會(huì)看到網(wǎng)絡(luò)連接不能創(chuàng)建成功。

控制擅自降低等級(jí)

使用過Windows 2008系統(tǒng)的用戶都知道，該系統(tǒng)默認(rèn)會(huì)使用較高的安全等級(jí)進(jìn)行上網(wǎng)訪問，以避免潛藏在網(wǎng)頁背后的病毒木馬攻擊服務(wù)器系統(tǒng)。不過，在默認(rèn)狀態(tài)下上網(wǎng)訪問時(shí)，用戶一般會(huì)感覺到上網(wǎng)不順暢，為此很多用戶會(huì)私自降低對(duì)應(yīng)系統(tǒng)的安全訪問等級(jí)，這容易給局域網(wǎng)的穩(wěn)定運(yùn)行帶來很大威脅。為了避免這種現(xiàn)象的發(fā)生，我們不妨進(jìn)行下面的設(shè)置操作，來禁止終端用戶自由調(diào)整上網(wǎng)安全等級(jí)：

首先以超級(jí)用戶權(quán)限登錄Windows 2008系統(tǒng)，逐一點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng)，展開系統(tǒng)運(yùn)行文本框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。

在該編輯界面左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下面的“禁用安全頁”組策略選項(xiàng)。

接著用鼠標(biāo)雙擊目標(biāo)組策略，彈出如圖5所示的組策略屬性對(duì)話框，選中“已啟用”選項(xiàng)，確認(rèn)后保存設(shè)置操作。這樣，普通用戶日后就能進(jìn)入Internet Explorer的“安全”選項(xiàng)設(shè)置頁面，私自調(diào)整安全訪問等級(jí)配置了，那么終端系統(tǒng)自然也就不會(huì)被輕易攻擊了。