限制用户的私自操作

不让私自创建网络连接

如果对上网安全性要求很高，管理员希望用户使用事先指定的专用连接上网。如何限制终端用户随意创建连接上网访问呢？只要关闭网络连接创建向导即可。

在系统运行对话框，输入字符串命令“gpedit.msc”并回车，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略→用户配置→管理模板→网络→网络连接”节点上，找到指定节点下的“禁止访问‘新建连接向导’”组策略选项，并用鼠标双击之，弹出如图1所示的组策略选项设置对话框。

接着选中该选项设置对话框中的“已启用”选项，确认后退出设置对话框。这样一来，普通用户日后自行创建网络连接时，就会看到网络连接不能创建成功。

不让私自更改上网地址

用户私自调整自己IP地址，在单位局域网环境中十分常见，这里介绍一种方法，让终端用户不能私自调整自己计算机的IP地址，即使拥有系统管理员权限也不行。

打开记事本，创建好文件名称为“aaa.bat”的批处理文件，在该文件编辑窗口中，输入如下命令行代码：

上面的这段代码作用主要是卸载与本地连接图标有关的系统DLL文件，让对应图标隐藏显示，以阻止终端用户通过本地连接“入口”修改上网IP地址。

同样地，创建好文件名称为“bbb.bat”的批处理文件，在该文件编辑窗口中，输入如下命令行代码：

这段代码的作用主要是重新注册与本地连接图标有关的系统DLL文件，让对应图标恢复显示，以便于终端用户能够正常通过本地连接“入口”修改上网IP地址。

日后，当管理员不希望用户随意调整计算机系统的IP地址时，就在他的计算机中启动运行“aaa.bat”批处理文件，让终端用户找不到本地连接“入口”，他就不能调整系统的上网地址了。如果想恢复到以前状态，再在用户的计算机中启动运行“bbb.bat”批处理文件，这时就能从网络连接列表中找到本地连接图标，通过该图标调整IP地址了。

不让私自降低安全等级

使用过Windows 2008系统的用户都知道，该系统默认会使用较高的安全等级进行上网访问，不过，用户会感觉到上网不顺畅，为此私自降低安全访问等级。为了避免这种现象的发生，我们可以禁止用户自由调整上网安全等级。

以超级用户权限登录 Windows 2008，开 启 组策略编辑器运行状态，在界面左侧列表中，将鼠标定位到“本地计算机策略→用户配置→管理模板→Windows组件→Internet Explorer→Internet控制面板”节点，找到“禁用安全页”组策略选项。

接着用鼠标双击该组策略，弹出组策略属性对话框，选中“已启用”选项，确认后保存设置操作。这样，普通用户日后就不能进入Internet Explorer的“安全”选项设置页面，调整安全访问等级配置了。

不让私自跳过共享认证

图1 选项设置对话框

图2 新建路径规则界面

在安装了Windows XP之类低版本系统的终端中，用户可以通过默认的来宾共享访问模式，跳过共享身份认证。为了防止恶意用户通过共享访问方式，向局域网传播病毒，我们可以修改Windows系统默认的共享访问模式，不让终端用户私自跳过共享认证。

以超级用户权限登录共享资源所在主机系统，在运行对话框中执行“gpedit.msc”命令，开启组策略编辑器。在该界面左侧列表中，将鼠标定位到“本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→安全选项”节点上，“网络访问：本地账户的共享和安全模型”组策略。

其次，用鼠标双击目标组策略选项，弹出如图1所示的选项设置对话框，选中“经典—对本地用户进行身份验证，不改变其本来身份”选项，单击“确定”按钮退出设置对话框。这样，Windows系统日后就会不允许用户私自跳过共享访问验证了。

不让私自进行BT下载

如果让终端用户私自进行BT下载操作时，局域网的上网出口带宽资源很容易被过度消耗掉。为了限制终端用户私自进行BT下载，我们可以进行设置。

开启组策略编辑器运行状态，在窗口左侧列表中，将鼠标定位到“本地计算机策略→计算机配置→Windows设置→安全设置→软件限制策略”节点上，用鼠标右键单击“软件限制策略”选项，执行快捷菜单中的“创建软件限制策略”命令。

下面依次选中“软件限制策略→强制”选项，并用鼠标双击目标选项，选中“所有用户”选项，确认后保存设置操作。再打开“其他规则”选项的右键菜单，单击“新建路径规则”命令，按下“浏览”按钮，将迅雷下载、网际快车之类的BT工具选中并添加进来，同时将“安全级别”参数设置为“不允许”（如图2），确认后退出设置对话框即可。