作為網(wǎng)管，每天煩心的事接連不斷。別的不說，就IP地址分配這一簡單的事來說，通常都是服務器采用靜態(tài)IP、客戶機采用DHCP自動分配的方式。但是，很多人卻不安于這樣的方案，總喜歡私自設置IP地址，例如“192.168.0.88”、“192.168.0.188”這類的IP都是人人在搶，結果經(jīng)常出現(xiàn)IP地址沖突無法上網(wǎng)的局面。其實，要完全禁止這樣的事情也不太難，只要在路由器上將用戶的IP地址與MAC地址一一綁定，如果私自更改IP地址則無法上網(wǎng)，這樣即可起到禁止修改IP的作用。

但是以筆者的實際工作經(jīng)驗來看，如果從路由器上作限制，工作量比較大，而且用戶更換了網(wǎng)卡還需要重新設置，而且也增加了路由的負擔。因此，我們還是考慮用客戶端入手。目前企業(yè)用戶客戶端的安裝一般都是采用克隆安裝的方式，即制作好映像文件，然后直接快速恢復即可。因此我們只要在制作映像文件時進行相應的設置就可以了。

一、取消本地連接圖標

當網(wǎng)絡連接正常時，會在系統(tǒng)任務欄右側顯示出本地連接的小圖標，其樣子就是兩臺小電腦，很多菜鳥用戶就是通過這個來修改IP地址的。因為鼠標只要雙擊圖標，即可快速打開本地連接窗口，然后進行IP地址修改。因此，如果我們將該圖標隱藏起來，那么就可以阻止很多初級用戶私自修改IP。

在桌面上右擊“網(wǎng)上鄰居”圖標，在彈出的菜單中選擇“屬性”命令，在打開的網(wǎng)絡和撥號連接窗口中即可看到本地連接圖標。右擊本地連接圖標，在彈出的菜單中選擇“屬性”，這樣就打開了本地連接的屬性窗口，在該窗口“常規(guī)”標簽的底部將“連接后在通知區(qū)域顯示圖標”項取消，再單擊“確定”按鈕保存設置(圖1)，這樣任務欄上的本地連接狀態(tài)圖標就不見了。

雖然這樣簡單的一個步驟，但卻可以讓50%以上的用戶不知道怎么去修改IP了。

二、本地連接不可用

通過第一種方法，雖然可以將部分用戶拒絕門外，但是對有電腦使用經(jīng)驗的人則沒有作用了。因為它們知道可以直接通過網(wǎng)上鄰居來打開本地連接屬性窗口進行修改。因此我們的第二招就是讓本地連接的屬性不可用，從而將這部分用戶擋在門外。

我們知道，系統(tǒng)功能的控制都是通過注冊表的控制的，但是修改注冊表比較麻煩，風險也比較大，我們可以通過組策略來達到這樣的目的。

打開“運行”窗口，輸入“gpedit.msc”后回車打開組策略編輯器，在打開的窗口左側依次選擇“用戶配置—管理模板—網(wǎng)絡—網(wǎng)絡連接”，然后雙擊右側的“禁止訪問LAN連接的屬性”項，在打開的窗口中將其設為“已啟用”(圖2)，單擊“確定”按鈕保存設置，這樣就無法打開本地連接的屬性窗口，修改IP自然無從談起了。

圖2

三、徹底斬斷修改之路

可以說很多人修改IP都是因為看到了可以修改的地方才進行的，如果我們將能夠進入修改本地連接屬性的菜單命令全部隱藏起來，這同樣可以起到禁止修改IP的目的。

按照前面的方法打開組策略編輯器，然后在左側選擇“用戶配置—管理模板—桌面”，再雙擊右側的“隱藏桌面上的網(wǎng)上鄰居圖標”，在打開的窗口中將其設置為“已啟用”項(圖3)，這樣通過右擊桌面上網(wǎng)上鄰居圖標的方式打開本地連接這條路就行不通了。

圖3

接下來，再在組策略中選擇“用戶配置—管理模板—控制面板”，將其中的“禁止訪問控制面板”項設為“已啟用”，這樣不僅可以禁止通過控制面板中的網(wǎng)絡與撥號連接來打開本地連接窗口，還可以禁止修改控制面板中提供的所有設置。

最后一種是通過開始的設置菜單中打開網(wǎng)絡和撥號連接，對此我們同樣可以在組策略中選擇“用戶配置—管理模板—網(wǎng)絡和撥號連接”，然后將“從開始菜單刪除網(wǎng)絡和撥號連接”項啟用即可。

通過上面幾種方法，可以說基本上可以避免用戶私自更改IP地址的問題了。當然，要想避免類似事件的發(fā)生，我們建議網(wǎng)管員應做好用戶基礎培訓的工作，讓用戶養(yǎng)成良好的網(wǎng)絡使用習慣，這樣一些常見的故障就不會再發(fā)生了，從而也降輕自己的工作壓力。