在WindowsXP中巧妙掌握上网权限

我们知道，在Windows XP中可以建立多个账户，在默认情况下，所有的账户都可正常连接因特网。有时处于安全性的考虑，我们常常希望只有管理员权限的用户才上网，而禁止普通用户上网。那么该如何实现上述功能昵？本文就深入的探讨解决方法。假设本机的IP为192.168.0.2，路由器网关的IP为192.168.0.1，管理员名称为“ly so fter”，普通用户名称为“user”。在这里危险漫步给大家介绍两种方法，我们可实现“lysofter”用户上网，而“user”用户无法上网。

通过NetSh命令控制网关

Netsh是Windows 2000/XP/2003自身提供的实用工具，允许用户在本地或远程显示和修改当前系统的网络配置信息。这里就使用该命令并配合相关的组策略，让管理员账户可以拥有正确的网关配置，而让普通用户无法得到，因此巧妙的阻止普通用户连接因特网。首先以“lysofter”用户身份登录系统，建立“Linko k.bat”和“Linkno,bat”两个批处理文件，其中“Linkok．bat”的内容为“netsh interface ip set address”本地连接”source-static addF192.168,0.2 mask=255.255.255.0gateway=192.168.0,1 gwmetric=l",“Linkno.bat"的内容为“netsh interface ip set address”本地连接”source=static addF192.168.0.2 mask=255.255.255.0gateway-none”。之后在“开始”-“运行”中执行“gpedit.msc”程序，在组策略窗口左侧展开“用户配置”-“Windows设置”-“脚本（登录注销）”，在右侧窗口中双击“登录”项，在登录属性窗口中点击“添加”按钮，在添加脚本窗口中的“脚本名”栏中输入“Linkok.bat”文件的完整路径即可。在右侧窗口中双击“注销”项，按照同样的方法，将“Linkno.bat”文件添加到注销脚本中。这样，当“lysofter”用户登录系统时，就会自动执行“Lin_kok.bat”程序，将网关配置为正确信息，当注销“lysofter”用户时，就自动执行“Linkno.bat”程序，从而清空网关的配置信息。然而当“User”用户登录系统时，虽然也可以运行以上登录脚本，但是普通用户是没有权限执行NetSh命令的，因此普通用户只能就无法得到正确的网关配置，也就无法正常上网了。即使普通用户在本地连接属性窗口中试图修改网络配置信息，系统也会弹出权限不够的提示，从而禁止其手工配置网关信息。

巧用IE的代理功能

我们知道，IE是可以使用代理服务器上网的，因此只要将其代理服务器指向“127.0.0.1”地址，那么普通用户就无法通过IE浏览网页了。首先使用“lyso fter”用户登录系统，在组策略管理器中震开“用户配置”-“Windows设置”-“InternetExplorer维护”-“连接”分支，在右侧窗口中双击“代理设置”项，在弹出窗口中勾选“启用代理服务器设置”项，将“HTTP”的代理服务器的地址设为“127.0.0.1”，点击确定按钮保存即可。这样，当在IE中浏览网页时，因为其代理服务器实际上并不存在，因此就无法访问因特网了。那么问题的关键在于如何让管理员用户可以跳过上述限制，从而正常使用IE访问因特网昵？实际上，打开“C:\WINDOWS＼s多stem3 2\GroupPolicy\User\MICROSOFT\IE AKP文件夹，在其中可以看到名称为“ins tall．ins”的文件，在该文件中就包含了IE的代理服务器信息。打开该文件，其中的“Proxy_Enable”参数的数值为1，表示启用了代理服务器，其中的“HTTPProxy_Server”参数就指明了代理地址。因此，如果“lysofter”用户不读取ufinstall.ins”文件，就可以“跳过”IE的代理服务器配置。而组策略中的“用户配置”部分中的配置项目大多都是在登录后才生效的，因此，只要使用NTFS分区的权限分配机制，让“lysofter”用户无法读取“install.ins”文件，即可实现上述要求。在“instalf-ins”文件的属性窗口的“安全”面板中选中“lysofter”用户，如果不存在的话，可以点击“添加”按钮导入该用户。之后在其下的权限设置面板中的“读取”栏中勾选“拒绝”项，即可禁止“Iysofter”用户读取该文件了。这样，当再次使用“lysofter”用户登录系统时，果然不再读取“install.ins”文件，从而跳过了IE的代理服务配置。但是普通用户却没有比“特权”，依然正常加载IE代理服务信息，当然无法正常使用IE了。