组策略助力网络连接管理

引言：对于普通上网终端的维护，如果身边没有外力工具的帮助，管理员如何通过系统自带的网络管理功能，确保终端的网络的连接稳定呢？

对单位网络进行高效管理维护，是每位网络管理员的工作职责。下面本文就利用平时不起眼的系统组策略，巧妙管理终端系统的网络连接，确保对应系统的上网访问高效稳定！

防止连接脱离控制

进行在线培训或网络演示时，有些终端用户会通过点击网络连接状态中的“禁用”按钮，切断终端系统的网络连接，从而达到管理人员或培训人员无法控制终端系统的目的。

为了防止终端网络连接脱离控制，我们可以修改终端系统的组策略参数，让普通终端用户无法随意禁用网络连接：

首先，打开上网终端的“开始”菜单，单击“运行”命令，从弹出的系统运行对话框中，输入“gpedit.msc”命令，展开系统组策略控制台窗口。在左侧显示区域，逐一点选“本地计算机策略”、“用户配置”、“管理模板”、“网络”和“网络连接”子项，找到它们下面的“为管理员启用Windows 2000 网络连接设置”，双击切换到如 图1所示的组策略属性对话框。勾选“已启用”选项，单击“确定”按钮保存设置操作。这样可以确保 Windows 2000 Server系列中的已有“网络连接”组设置将适用于管理员，同时该组设置也存在于Windows XP Professional系 统中。

图 1 网络连接设置

图 2 LAN连接能力的设置

默认状态下，“网络连接”组设置，无法实现禁止终端用户使用特定功能的目的，现在启用了该配置后，就能具有禁止管理员使用某些功能的能力。

接着返回到“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”子项上，双击该子项下的“启用/禁用LAN连接的能力”组策略，弹出如图2所示的组策略属性对话框，勾选“已禁用”选项，单击“确定”按钮保存设置操作。

这时无论是系统管理员权限的用户，还是普通权限的用户，都将无法使用网络连接状态中的禁用功能。

值得注意的是，倘若之前没有启用“为管理员启用Windows 2000 网络连接设置”功能，那么禁用“启用/禁用LAN连接的能力”组策略的配置操作，将不适用于Windows 2000以后版本系统管理员。所以，要想让所有版本系统的管理员都不能随意禁用网络连接，必须先要启用“为管理员启用Windows 2000 网络连接设置”组策略。

防止连接设置破坏

在组网规模有限的单位网络环境中，网络管理员常常会为终端计算机分配一个固定IP地址，不过这种地址分配方式，很容易引起地址冲突故障，造成单位网络运行不稳定。

因为普通上网用户通过设置本地连接的属性参数，就能轻松让一台终端计算机的IP地址与另外一台终端计算机的IP地址相同。为了防止网络连接设置受到随意破坏，我们不妨进行如下设置操作，限制普通终端用户随意调整上网参数：

图 3 禁止访问LAN连接

首先逐一单击“开始”、“运行”命令，打开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。在该编辑窗口左侧显示区域，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”子项上，双击指定子项下面的“禁止访问LAN连接的属性”组策略选项，弹出如图3所示的组策略属性对话框。勾选其中的“已启用”选项，按下“确定”按钮保存好上述设置操作即可。

为了防止管理员权限的用户随意更改网络连接设置，我们还要打开“为管理员启用Windows 2000 网络连接设置”组策略属性对话框，选中“已启用”选项，确认后就能让所有用户无法打开本地连接属性菜单，也就无法进入本地连接属性对话框，随意修改上网设置了。

值得注意的是，这里设置的优先级高于局域网连接属性对话框中的功能性配置，当启用了“禁止访问LAN连接的属性”组策略功能后，普通上网用户将无法使用局域网连接属性对话框中的所有功能，但是可以查看其中的配置参数，参数内容不可以随意修改。

防止随意连接访问

在多人共用一台终端计算机的情况下，很多人会随意进行上网连接访问，一旦访问到那些不安全网站，潜藏在这些网站背后的病毒或木马，可能会给终端计算机系统带来不小的危害。

为了防止终端系统被病毒或木马程序袭击，我们不妨通过设置终端系统的组策略参数，来让终端系统仅在规定安全区域进行上网连接，下面就是详细的操作步骤：

首先，依次单击“开 始”、“运 行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。

在组策略编辑窗口右侧位置，将鼠标定位在“本地计算机策略”、“用户配置”、“Windows设 置”、“Internet Explorer维 护”、“安全”分支上，双击指定分支下的“安全区域和内容分级”组策略选项，弹出如图4所示的组策略属性框。

其次，勾选“安全区域和隐私”设置项处的“导入当前安全区域设置”，按下“修改设置”按钮。然后根据实际访问情况设置好网络连接安全区域，确认后保存设置操作。

这时，普通用户日后在终端系统中上网连接时，将只能在规定区域内进行安全连接，而不允许随意进行网络连接，这样终端系统安全性就能得到保障了。

图 4 安全区域和内容分级

图 5 禁止查看活动连接状态

防止查看连接状态

大家知道，网络连接状态能从连接状态对话框或系统任务栏右下方区域的连接图标处查看到。有时在特定场合下，我们并不希望普通用户查看到有关网络连接及其活动状态信息。这时可以进行如下设置步骤，来防止终端用户随意查看连接状态：

首先，依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。

在组策略编辑窗口右侧位置，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“网 络”、“网 络 连接”子项上，找到指定子项下面的“禁止查看活动连接的状态”组策略选项，双击打开如图5所示的组策略属性对话框。

其次，勾选“已启用”选项，单击“确定”按钮保存设置操作。这样对于终端用户或管理员来说，本地系统的连接状态对话框或连接状态任务栏图标将不可用。并且打开网络连接文件夹窗口时，“文件”菜单上的“状态”选项将处于失效状态。

值得注意的是，要是禁用了或者没有配置“为管理员启用网络连接设置”组策略，那么该设置将不适用于Windows 2000以后版本系统的管理员。

删除所有访问连接

不少管理员总喜欢启用Windows系统中的远程访问连接功能，来提高单位局域网终端系统的管理维护效率。但是，启用远程访问连接功能很容易被恶意用户利用，从而令终端计算机受到破坏。

遇到这种情况时，管理员可以按照下面的操作，快速断开所有上网连接：

首先，依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。在组策略编辑窗口左侧区域，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支上。双击指定分支下的“删除所有用户远程访问连接”组策略，展开如图6所示的组策略属性对话框。

其次，勾选这里的“已启用”选项，单击“确定”按钮保存设置操作。

日后，当看到终端计算机系统突然反应迟钝时，管理员不妨打开对应系统的任务管理器窗口，在用户选项设置页面中，用鼠标右击所有远程连接用户账号，点选右键菜单中的“断开”命令，使所有远程连接与本地系统的网络连接快速断开。

图 6 删除所有用户远程访问连接

图 7 禁止访问新建连接向导

谨防网络连接被新建

正常来说，单位内网环境对上网安全性要求较高，很多管理员用户在特定时间段内，会删除特定网络连接，来防止普通用户的自由上网访问。

不过，有些技术水平的上网用户，常常不理会管理员的辛苦努力，常悄悄创建网络连接进行上网访问。为了谨防网络连接被新建，管理员可以对终端计算机系统进行下面的管理操作：

首先，依次单击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。

在该编辑窗口左侧显示区域，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支上，从指定分支下双击“禁止访问‘新建连接向导’”组策略选项，进入如图7所示的组策略属性设置框。

其次，勾选这里的“已启用”选项，确认后保存设置操作。

这样，普通上网用户日后想要悄悄建立网络，连接上网时，将会得到网络连接无法创建成功的结果。