如何设置权限,使管理员能上网,而受限用户却不能上网?
如何设置权限,使一个用户能上网,而使另一个受限用户不能上网?
......
你是不是很讨厌别人老是用你的电脑上网啊?我也是。有几个人老是来我房间,来了抽烟,上网。还得给他端水喝。可没有办法。总不能说你滚,我讨厌你吧。呵。干脆你弄一个假的蓝屏程序,让它自动在什么时间运行。这样他们一看,电脑坏了。就不玩你的电脑了。
讨论的前提:
1. 处理对象:同一台电脑上的不同用户,而不是同一网络的不同计算机上的用户!
2. 上网方式:ADSL拨号上网,局域网共享上网;
3. 适用环境:个人电脑,家庭网络,公司网络,企业网络;
4. 本文中所有方法对电脑高手均无效!!
方法一:
针对拨号上网的计算机:
原理:用应用程序执行身份限制
举例说明:Administrator 可上网,cmcc 不允许上网
操作:
第一步,把cmcc帐户的管理员权限取消:我的电脑右键-〉管理-〉本地用户和组-〉本机用户,双击cmcc,在所属组去掉administrators帐户,之后可以把它添加到其他组,建议Guests或Users。
第二步,使cmcc不能上网,最简单直接的方式是用cmcc登录,删除网络连接和拨号配置,再用administrator登录,新建拨号连接,同时注意钩选“只是我使用该连接”。这样cmcc就不能通过拨号连接上网了。
方法二:
针对拨号上网 或共享上网的计算机:
原理:用端口限制
操作:
如果想让另一用忘掉不能上网。那就这样:
找到网上邻居——属性——本地边接——属性——inter协议(TCP/IP)——属性——高级——选项——TCP/IP筛选 ,勾选 启用TCP/IP筛选;
然后,你将三项都设置为—只允许,其它空着。
那么就不可以上网了。
但是这样你也不能上网。需要上网时还得去改一下才行。
方法三:
针对拨号上网 或共享上网的计算机:
原理:用NTFS访问权限去限制
操作:
假设该PC用IE浏览器进行internet访问,
将C盘的文件系统改成NTFS格式的。
那可以考虑在C:\Program files和C:\Program files\Internet Explorer文件夹上做
用户访问权限设置,只是administrator用户(想哪个用户上网就指定哪个用户)可以访问,那样普通用户组就不能进行对IE程序的访问,并且普通用户没有权限安装第三方internet浏览器软件.
也可以找到C:\Program files\Internet Explorer\IEXPLORE.EXE,设置IEXPLORE.EXE权限为只能由administrator管理员打开。那么任何其它用户都不可以运行这个程序了。
当然也可以将整个系统分区都这样设置。这样,他就不能用你的电脑了。
方法四:
针对拨号上网 或共享上网的计算机, 此方法也是最为行之有效的方法。
原理:用Internet 选项 去限制
操作:
之前有介绍过用IE的分级审查来限制用户上网:
“开始”“设置”“控制面板”“Internet 选项”“内容”“分级审查”“启用” 设置一个密码就可以了。
优点:
1. 简单灵活,易于操作,不需要注销或重启;
2. 可以随时启用或禁用;
3. 可以针对性的只允许访问指定的网址或网站资源;
缺点:
1. 分级审查对本机所有用户均起作用;
2. 更换网页浏览器可绕过“分级审查”,但并只是少部分可以;
像以下浏览器都会“分级审查”拦截:
·傲游(Maxthon)浏览器
·Mozilla Firefox
·Internet Explorer 7.0
·腾讯TT浏览器 Tencent
·Opera
方法五:
针对拨号上网 或共享上网的计算机, 此方法也是最为行之有效的方法。
原理:用 设置不存在的代理 去限制
操作:
以需要限制上网的用户身份登陆,
第一步:在局域网设置里面给他设置上一个实际并不存在的代理,这个不像IE的分级审查,这个只对这一个用户起作用:
“开始”“设置”“控制面板”“Internet 选项”“局域网设置”填入IP和端口号,下面别勾,确认退出即可。
第二步:到组策略中启用“禁止更改代理服务器的设置”
“开始”“运行”“gpedit.msc”“用户配置”“管理模板”“Windows 组件”“Internet Explore”“禁止更改代理服务器的设置”, 设置为已启用。
方法六:
针对拨号上网 或共享上网的计算机。
原理:用 脚本 去限制
操作:
可以利用尝试用登录、注销脚本进行,以下方法在Microsoft Virtual PC 2004虚拟机里测试通过。
一、适用范围:
对等网,采用NAT方式共享Internet连接,且安装Windows XP Professional(Home用户的话,就要另外想办法了)。如果是域的环境,最好借助ISA 2004对特定的域用户进行访问限制,这更加有利于管理和扩展。
二、方法简述:
为了方便描述,这里假设你的计算机的IP为192.168.0.5,上网网关为 192.168.0.1 ,安装在C盘,网络适配器名称为“本地连接”。
1.打开记事本,输入以下命令:
netsh interface ip set address 本地连接 source=static addr=192.168.0.5
mask=255.255.255.0 gateway=192.168.0.1
保存为EnableInet.bat,然后保存到C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon目录下。
2.新建一个文件,输入以下命令:
netsh interface ip set address 本地连接 source=static addr=192.168.0.5
mask=255.255.255.0 gateway=none
保存为DisableInet.bat,然后保存到C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logoff目录下。
3.分别对这两个脚本文件设置安全权限,只允许管理员和system具备访问权限,其他用户一律拒绝访问。
4.打开组策略管理单元,进入用户配置、Windows设置、脚本(登录/注销),设置EnableInet.bat为登录脚本,设置DisableInet.bat为注销脚本。
5.重新注销、并登录一次,测试脚本工作是否正常。
三、原理简述:
当管理员登录时,自动运行EnableInet.bat,可以访问Internet,而当管理员注销时,会运行DisableInet.bat,清空缺省网关设置。由于普通用户登录时,没有权限运行这两个脚本,所以无法访问Internet。
四、不足之处:
1. 被限制上网的用户必须是受限用户,否则可以自己修改TCP/IP的配置。
2. 管理员登陆后,用快速切换用户到受限用户下还是可以上网。
所以:
管理员在离开电脑时必须注销账户,而不是锁定。否则,登录系统的普通用户还是能上网。
五、补充:
这个方法存在漏洞,必须用以下方法堵住该漏洞:
在管理员帐户下,依次展开控制面板、用户帐户、更改用户登录和注销方式,取消“使用快速用户切换”复选框。
或者,在选择屏幕保护程序的页面勾掉“在恢复时返回到欢迎屏幕”。
这样一旦按WIN+L锁定计算机后,只有管理员权限才可以解锁。
