組策略助力網絡連接管理

引言：對于普通上網終端的維護，如果身邊沒有外力工具的幫助，管理員如何通過系統自帶的網絡管理功能，確保終端的網絡的連接穩定呢？

對單位網絡進行高效管理維護，是每位網絡管理員的工作職責。下面本文就利用平時不起眼的系統組策略，巧妙管理終端系統的網絡連接，確保對應系統的上網訪問高效穩定！

防止連接脫離控制

進行在線培訓或網絡演示時，有些終端用戶會通過點擊網絡連接狀態中的“禁用”按鈕，切斷終端系統的網絡連接，從而達到管理人員或培訓人員無法控制終端系統的目的。

為了防止終端網絡連接脫離控制，我們可以修改終端系統的組策略參數，讓普通終端用戶無法隨意禁用網絡連接：

首先，打開上網終端的“開始”菜單，單擊“運行”命令，從彈出的系統運行對話框中，輸入“gpedit.msc”命令，展開系統組策略控制臺窗口。在左側顯示區域，逐一點選“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”和“網絡連接”子項，找到它們下面的“為管理員啟用Windows 2000 網絡連接設置”，雙擊切換到如 圖1所示的組策略屬性對話框。勾選“已啟用”選項，單擊“確定”按鈕保存設置操作。這樣可以確保 Windows 2000 Server系列中的已有“網絡連接”組設置將適用于管理員，同時該組設置也存在于Windows XP Professional系 統中。

圖 1 網絡連接設置

圖 2 LAN連接能力的設置

默認狀態下，“網絡連接”組設置，無法實現禁止終端用戶使用特定功能的目的，現在啟用了該配置后，就能具有禁止管理員使用某些功能的能力。

接著返回到“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”子項上，雙擊該子項下的“啟用/禁用LAN連接的能力”組策略，彈出如圖2所示的組策略屬性對話框，勾選“已禁用”選項，單擊“確定”按鈕保存設置操作。

這時無論是系統管理員權限的用戶，還是普通權限的用戶，都將無法使用網絡連接狀態中的禁用功能。

值得注意的是，倘若之前沒有啟用“為管理員啟用Windows 2000 網絡連接設置”功能，那么禁用“啟用/禁用LAN連接的能力”組策略的配置操作，將不適用于Windows 2000以后版本系統管理員。所以，要想讓所有版本系統的管理員都不能隨意禁用網絡連接，必須先要啟用“為管理員啟用Windows 2000 網絡連接設置”組策略。

防止連接設置破壞

在組網規模有限的單位網絡環境中，網絡管理員常常會為終端計算機分配一個固定IP地址，不過這種地址分配方式，很容易引起地址沖突故障，造成單位網絡運行不穩定。

因為普通上網用戶通過設置本地連接的屬性參數，就能輕松讓一臺終端計算機的IP地址與另外一臺終端計算機的IP地址相同。為了防止網絡連接設置受到隨意破壞，我們不妨進行如下設置操作，限制普通終端用戶隨意調整上網參數：

圖 3 禁止訪問LAN連接

首先逐一單擊“開始”、“運行”命令，打開系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。在該編輯窗口左側顯示區域，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”子項上，雙擊指定子項下面的“禁止訪問LAN連接的屬性”組策略選項，彈出如圖3所示的組策略屬性對話框。勾選其中的“已啟用”選項，按下“確定”按鈕保存好上述設置操作即可。

為了防止管理員權限的用戶隨意更改網絡連接設置，我們還要打開“為管理員啟用Windows 2000 網絡連接設置”組策略屬性對話框，選中“已啟用”選項，確認后就能讓所有用戶無法打開本地連接屬性菜單，也就無法進入本地連接屬性對話框，隨意修改上網設置了。

值得注意的是，這里設置的優先級高于局域網連接屬性對話框中的功能性配置，當啟用了“禁止訪問LAN連接的屬性”組策略功能后，普通上網用戶將無法使用局域網連接屬性對話框中的所有功能，但是可以查看其中的配置參數，參數內容不可以隨意修改。

防止隨意連接訪問

在多人共用一臺終端計算機的情況下，很多人會隨意進行上網連接訪問，一旦訪問到那些不安全網站，潛藏在這些網站背后的病毒或木馬，可能會給終端計算機系統帶來不小的危害。

為了防止終端系統被病毒或木馬程序襲擊，我們不妨通過設置終端系統的組策略參數，來讓終端系統僅在規定安全區域進行上網連接，下面就是詳細的操作步驟：

首先，依次單擊“開 始”、“運 行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。

在組策略編輯窗口右側位置，將鼠標定位在“本地計算機策略”、“用戶配置”、“Windows設 置”、“Internet Explorer維 護”、“安全”分支上，雙擊指定分支下的“安全區域和內容分級”組策略選項，彈出如圖4所示的組策略屬性框。

其次，勾選“安全區域和隱私”設置項處的“導入當前安全區域設置”，按下“修改設置”按鈕。然后根據實際訪問情況設置好網絡連接安全區域，確認后保存設置操作。

這時，普通用戶日后在終端系統中上網連接時，將只能在規定區域內進行安全連接，而不允許隨意進行網絡連接，這樣終端系統安全性就能得到保障了。

圖 4 安全區域和內容分級

圖 5 禁止查看活動連接狀態

防止查看連接狀態

大家知道，網絡連接狀態能從連接狀態對話框或系統任務欄右下方區域的連接圖標處查看到。有時在特定場合下，我們并不希望普通用戶查看到有關網絡連接及其活動狀態信息。這時可以進行如下設置步驟，來防止終端用戶隨意查看連接狀態：

首先，依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。

在組策略編輯窗口右側位置，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“網 絡”、“網 絡 連接”子項上，找到指定子項下面的“禁止查看活動連接的狀態”組策略選項，雙擊打開如圖5所示的組策略屬性對話框。

其次，勾選“已啟用”選項，單擊“確定”按鈕保存設置操作。這樣對于終端用戶或管理員來說，本地系統的連接狀態對話框或連接狀態任務欄圖標將不可用。并且打開網絡連接文件夾窗口時，“文件”菜單上的“狀態”選項將處于失效狀態。

值得注意的是，要是禁用了或者沒有配置“為管理員啟用網絡連接設置”組策略，那么該設置將不適用于Windows 2000以后版本系統的管理員。

刪除所有訪問連接

不少管理員總喜歡啟用Windows系統中的遠程訪問連接功能，來提高單位局域網終端系統的管理維護效率。但是，啟用遠程訪問連接功能很容易被惡意用戶利用，從而令終端計算機受到破壞。

遇到這種情況時，管理員可以按照下面的操作，快速斷開所有上網連接：

首先，依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。在組策略編輯窗口左側區域，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”分支上。雙擊指定分支下的“刪除所有用戶遠程訪問連接”組策略，展開如圖6所示的組策略屬性對話框。

其次，勾選這里的“已啟用”選項，單擊“確定”按鈕保存設置操作。

日后，當看到終端計算機系統突然反應遲鈍時，管理員不妨打開對應系統的任務管理器窗口，在用戶選項設置頁面中，用鼠標右擊所有遠程連接用戶賬號，點選右鍵菜單中的“斷開”命令，使所有遠程連接與本地系統的網絡連接快速斷開。

圖 6 刪除所有用戶遠程訪問連接

圖 7 禁止訪問新建連接向導

謹防網絡連接被新建

正常來說，單位內網環境對上網安全性要求較高，很多管理員用戶在特定時間段內，會刪除特定網絡連接，來防止普通用戶的自由上網訪問。

不過，有些技術水平的上網用戶，常常不理會管理員的辛苦努力，常悄悄創建網絡連接進行上網訪問。為了謹防網絡連接被新建，管理員可以對終端計算機系統進行下面的管理操作：

首先，依次單擊“開始”、“運行”命令，展開系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。

在該編輯窗口左側顯示區域，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”分支上，從指定分支下雙擊“禁止訪問‘新建連接向導’”組策略選項，進入如圖7所示的組策略屬性設置框。

其次，勾選這里的“已啟用”選項，確認后保存設置操作。

這樣，普通上網用戶日后想要悄悄建立網絡，連接上網時，將會得到網絡連接無法創建成功的結果。