控制终端操作权限

引言：在管理维护局域网的过程中，很多管理员都有这样的体会，网络管理的难点不在服务器系统，而是在于形形色色的终端系统，常常给网络运维操作带来不可预知的麻烦。为了确保网络运行稳定，我们需要控制终端用户的一些操作权限，不让可能存在的“暗礁”影响网络工作状态。

控制共享认证

为了维护整个网络的运行稳定，我们不妨进行如下设置操作，修改Windows系统默认的共享访问模式，不让终端用户私自跳过共享认证：

图1 选项设置duihuak

首先以超级用户权限登录共享资源所在主机系统，依次单击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该界面左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安 全设置”、“本地策略”、“安全选项”节点上，找到该节点下的“网络访问:本地帐户的共享和安全模型”组策略。

其次用鼠标双击目标组策略选项，弹出如图1所示的选项设置对话框，选中“经典—对本地用户进行身份验证，不改变其本来身份”选项，单击“确定”按钮退出设置对话框。这样，Windows系统日后就会不允许用户私自跳过共享访问验证了。

控制自由BT下载

如果让终端用户私自在自己的计算机系统中进行恶意BT下载操作时，那么局域网的上网出口带宽资源很容易被过度消耗掉，严重的时候能影响整个局域网的运行稳定。为了防止上述现象影响网络稳定，我们必须严格限制终端用户在终端系统中私自进行BT下载操作，确保网络带宽资源得到有效保护，详细的设置步骤如下：

首先逐一点击“开始”、“运行”选项，展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“软件限制策略”节点上，用鼠标右键单击“软件限制策略”选项，执行快捷菜单中的“创建软件限制策略”命令。

下面依次选中“软件限制策略”、“强制”选项，并用鼠标双击目标选项，选中“所有用户”选项，确认后保存设置操作。再打开“其他规则”选项的右键菜单，单击“新建路径规则”命令，按下“浏览”按钮，将迅雷下载、网际快车之类的BT工具选中并添加进来，同时将“安全级别”参数设置为“不允许”（如图2所示），确认后退出设置对话框即可。

图2 路径设置对话框

图3 Don't Sleep界面

控制随意执行关机

有的终端用户在访问完服务器系统中的共享资源后，有时会下意识地对其执行关机操作，这容易给局域网中的其他终端用户共享访问带来干扰。为了保证服务器访问稳定，我们可以通过“Don't Sleep”这款外力工具，控制普通权限的终端用户，不能私自注销、重启、关闭局域网中的服务器系统，以避免服务器系统被私自关闭现象。

开启“Don't Sleep”工具的运行状态后，选中如图3所示界面中“Blocking”设置项处的所有选项，同时选中“Enabled”选 项，按 下“Options”按 钮，切换 到“Don't Sleep”工 具的选项设置对话框，选中“Start Don't Sleep with Windows”选项，让目标工具日后可以跟随Windows系统一起自动启动。

要是开启了服务器系统中的自动开关机功能，要求每天早晨8点钟自动启动运行，晚上9点钟自动执行关机操作，这就意味着在每天8点钟到21点钟这一时间范围内，终端用户是不能私自关闭服务器系统的。

要实现上述控制目的，不妨选中“Timer”位置处的“Use Timer”选项，同时按下“#”按钮，选中其后菜单中的“10h”选项，按下“OK”按钮退出设置对话框。接着单击“To-Tray”按钮，让“Don't Sleep”工具躲到系统后台运行，这样服务器系统在正常运行期间，就不会发生被终端用户私自关闭现象了。即使有终端用户因为操作不小心，意外按下“关闭”系统命令，服务器系统也不会自动执行关机操作，仍然会继续正常运行。

控制胡乱创建连接

如果对上网安全性要求很高，那管理员肯定不希望终端用户私自创建网络连接，随意进行上网访问，而只希望他们使用事先指定的专用连接上网。那么如何才能限制终端用户随意创建连接上网访问呢？只要进行如下设置操作，关闭网络连接创建向导功能，就能轻松达到不让私自创建网络连接目的了：

首先依次点击“开始”、“运行”命令，弹出系统运行对话框，输入字符串命令“gpedit.msc”并回车，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”节点上，找到指定节点下的“禁止访问‘新建连接向导’”组策略选项，并用鼠标双击之，弹出如图4所示的组策略选项设置对话框。

图4 组策略选项设置对话框

图5 组策略属性对话框

接着查看该选项设置对话框中的“已启用”选项是否已被选中，如果发现其没有被选中时，应该及时重新选中它，确认后退出设置对话框。这样一来，普通用户日后尝试自行创建网络连接上网访问时，就会看到网络连接不能创建成功。

控制擅自降低等级

使用过Windows 2008系统的用户都知道，该系统默认会使用较高的安全等级进行上网访问，以避免潜藏在网页背后的病毒木马攻击服务器系统。不过，在默认状态下上网访问时，用户一般会感觉到上网不顺畅，为此很多用户会私自降低对应系统的安全访问等级，这容易给局域网的稳定运行带来很大威胁。为了避免这种现象的发生，我们不妨进行下面的设置操作，来禁止终端用户自由调整上网安全等级：

首先以超级用户权限登录Windows 2008系统，逐一点击“开始”、“运行”选项，展开系统运行文本框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。

在该编辑界面左侧列表中，将鼠标定位到“本地计算机策略”、“用户配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”节点上，找到该节点下面的“禁用安全页”组策略选项。

接着用鼠标双击目标组策略，弹出如图5所示的组策略属性对话框，选中“已启用”选项，确认后保存设置操作。这样，普通用户日后就能进入Internet Explorer的“安全”选项设置页面，私自调整安全访问等级配置了，那么终端系统自然也就不会被轻易攻击了。