企業網絡管理必修課 禁止修改終端IP

對于企業中的局域網而言，最難管理的并不是服務器主機，而是千差萬別的各個終端。畢竟每位終端用戶的操作都會影響其網絡的連接狀況，甚至波及到整個局域網。所以管理好終端系統是很有必要的。無論是采取DHCP還是指定獨立地址的方法，IP沖突和搶占已經成為管理局域網時最棘手的問題。怎樣才能更好的管理IP地址呢？
    最簡單的辦法就是——禁止終端用戶修改網絡配置！

隱藏網絡設置界面

    如果將網絡連接等設置對象隱藏起來，用戶就無從下手了，此時即可達到維護IP地址的目的。首先在終端上打開注冊表（regedit），依次展開“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”，在右側鍵值窗口中新建然后一個名為NoNetHood的雙字節值，并將其值設置為1，這樣就無法通過桌面的網絡鄰居進入TCP/IP設置界面了。

    接下來在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork”創建一個名為“NoNetSetup”的雙字節值，并將它設置為1；以后終端用戶再想打開“網上鄰居”或“網絡”屬性窗口時，將會看到無權訪問的提示。

注銷組件防止篡改IP

    很多用戶為了達到某些特殊的目的會在TCP/IP中修改地址，這對于管理員的管理工作帶來了麻煩�；�于目前常見的Windows 2000/XP系統，其IP地址修改無非調用了Netcfgx.dll，Netshell.dll和Netman.dll三個文件，只要將這些組件注銷即可達到保護IP地址的目的。在運行窗口中分別輸入Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll將三個組件注銷。這樣在整個系統中將無法修改IP地址了�；謴偷臅r候可以分別使用命令Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll進行恢復。建議管理員將其制作成批處理文件，進行統一的執行操作。
   
綁定IP地址

    以上的兩種方法針對一般用戶比較有效。但如果終端用戶自行修改，則又可以自由的修改IP地址了。此時可以通過IP與MAC地址綁定，然后在服務器端控制的方法達到一勞永逸。

    運行CMD，輸入arp -s 192.168.1.10 00-20-6F-16-5A-EF，并在服務器端設置MAC規則，這樣IP地址和MAC地址就綁定在一起了。以后如果該用戶擅自修改IP地址，就會無法連接到網絡。