如何禁止使用撥號、禁止修改IP位址？
 

在一個大型的網路，出於安全的考慮，網路管理員可能不允許用戶隨意修改自己的IP位址、不允許用戶使用撥號連接，初一看好像沒有什麼好辦法，前段時間剛好有客戶提出了不想讓用戶撥號的要求（技術部門無法對電話交換機無法進行管理），於是想了想，今天作一個總結。

客戶使用了Windows 2000的AD結構，而且Clinet基本都是Win2K Pro，分區類型有NTFS和FAT，本來如果都是用的NTFS的話，對一些DLL文件進行權限設定也可以滿足，我這裡選項的是raschap.dll，當然，類似的DLL也有一些（我也懶得整理了），在CMD視窗執行下面的指令：
cacls %systemroot%\system32\raschap.dll /e /d everyone

然後重新啟動機器，你會發現你已經建立好的撥號連接都看不到了，而且在你新增連接的時候會出錯，報告權限不足。如果需要用的時候，把該dll的權限改回來即可（需要重新啟動機器喔）
cacls %systemroot%\system32\raschap.dll /e /g everyone:r

由於客戶使用的是AD結構，設定權限可以在群組原則裡面來實現，把下面的內容加到你的安全範本文件的"File Security"段，然後套用該範本即可。 "%systemroot%\system32\raschap.dll",1,"D:PAR(D;OICI;FA;;;WD)"
當然，在這裡出現了一個這樣的問題，如果磁牒是FAT或者FAT32就無法套用NTFS權限來解決了，我們就只能在註冊表裡面想辦法了，開啟你的Regedt32，轉到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

然後在表單上的「安全」－「權限」
uncheck 「允許繼承...」，並設定為Everyone只讀，一切OK；
如果需要套用在AD中我們可以在群組原則的inf文件中的「Registry Keys」段裡增加以下一行 "machine\system\currentcontrolset\services\tcpip\parameters\interfaces", 0, "D:AR(A;CI;KR;;;WD)"

設定了註冊表的權限後，系統無法從 DHCP 伺服器上獲取IP，無法自己修改IP，很多與網路相關的修改都無法成功，當然，如果你公司內部使用了DHCP就會出問題喔...