有关WIN2008 R2域控组策略问题，请各位指点下，谢谢。

Posted 2023-03-30

问题：在WIN 2008 R2上域控设置了组策略，组策略内容为，使用固定的桌面背景，禁止使用U盘，禁止更改IP，在XP上都可以正常执行，但在WIN7或者WIN8.1上， 还使用固定桌面背景，禁止U盘使用都可以正常执行，但是禁止更改IP就不行，还是可以正常更改IP，请教下大家，有做过类似的望能指点下，感谢。

设置组策略原因：对公司的资料进行保密，防止外泄，防止病毒传播，有部分域用户给了本地管理员权限，为了防止他们乱改IP，所以要锁起来。

WinXP/Win7如何禁止修改IP地址
XP系统：
先说一下在XP系统中如何禁止修改IP地址吧？
网上所说的方法还是比较多的，比如修改注册表、修改组策略、禁用网络服务、隐藏网上邻居等等。。。但是不管哪一种方法操作起来都还是比较麻烦的，有些方法甚至还需要重新启动电脑更是麻烦，在这里我给大家推荐一个小工具，点击一下就可以禁止修改IP地址，工具下载地址：http://suimeng.cccpan.com/，打开网址在“常用工具”目录你会看到“NoIPSet”这个软件，下载下来使用即可。
工具截图：

推荐使用“方法一”，锁定之后记得把这个小工具藏起来或者直接删除，呵呵。。。
使用“方法一”点击“锁定”之后的效果如下图所示：

看到了吧？TCP/IP的属性变成灰色的，当然一般人是无法修改IP地址了，如果作为管理员的自己想修改IP地址的话只要再从“方法一”下面点击一下“解锁”即可，整个操作过程无需重新启动操作系统，可谓一键操作，省事省时。

Win7系统：
遗憾的是上面在XP中所使用的小工具在Win7中无法使用，于是我想百度一下看看有没有可以在Win7中使用的类似小工具，果然百度出来一个工具，界面如下图：

其实这张图片我是从网上找到的，等软件下载下来我就从来没有打开过这个软件，也就不知道这个软件到底起不起到禁用IP的作用？我就不清楚这个界面是哪里来的？反正我一运行这个软件就提示下面的错误：

不知道是不是我的操作系统的问题？你也可以下载下来测试一下能不能用？下载地址：http://suimeng.cccpan.com/，打开网址在“常用工具”目录你会看到“Win7禁用IP工具(测试)”这个软件，下载下来使用即可。

既然这个软件解决不了问题，我就继续想其它办法，N久后得出的结论是：Win7的管理员权限比XP的管理员权限要大，像那些在组策略里面禁止修改IP的方法在Win7系统中都是不起作用的。功夫不负有心人，最终还是被我找到解决方法了，方法如下：
用Win7的管理员账户登录系统，新建一个用户，然后将该用户的权限隶属于“Power Users用户组”，然后基本上就OK了，为什么说基本上呢？继续往下看。

为什么不直接隶属于Guests用户组呢？
因为Guests用户组的权限比Power Users用户组的权限要小，连最基本的安装个软件都没有权限，可谓太小了啊。Administrators用户组的权限太大了，Guests用户组的权限太小了，我们只能取中间的PowerUsers用户组啦。如果给予Guests用户组当然可以解决问题，但是后续的麻烦事也挺多的，公司员工要是装个软件没有权限会叫管理员过去安装，一天叫你安装个七八个软件，管理员会跑累死的，呵呵。。。

当然Power Users用户组的权限也不怎么大的，比如说：每次插入不同的U盘，系统都会提示“没有足够的权限”，每次都要用管理员用户自动安装驱动之后才可以用Power Users用户组使用这个U盘，之后换了个U盘，又会提示“没有足够的权限”，反正每次安装完之后就只能认一个U盘。这个问题也比较的烦人啊，总不能换个U盘就跑一次吧？做网络管理员真辛苦啊。。。还好有解决方法：
默认情况下，PowerUsers用户组的用户没有安装驱动的权限的，所以只要用管理员账号赋予Power Users用户组安装驱动的权限就可以了。具体操作是：
①运行Secpol.msc打开本地安全策略。
②展开本地策略→用户权利指派→双击“装载和卸载驱动程序”→单击“添加用户或组”→单击“对象类型”→只勾选“组”→高级→立即查找→把Power Users用户组添加进来(默认设置只包含Administrators)，确定后重新启动电脑用Power Users用户组的账号登陆即可。

当然“用户权利指派”里有很多权限可以设置的，有需要的话可以自己设置一下，操作方法同上。本地安全设置图如下：

顺便说一下Win7用户组和权限：
内置普通组：
Administrator属于该Administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是本地组的成员，而且无法将它从该组删除。如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件都可以通过“开始”→“所有程序”→“附件”→“系统工具”→“备份”的途径备份与还原这些文件夹与文件。

Guests该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境，该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators该组内的用户可以在客户端执行一般的网络设置任务，例如更改IP地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些。例如：可以创建、删除、更改本地用户帐户；创建、删除、管理本地计算机内的共享文件夹与共享打印机；自定义系统设置，例如：更改计算机时间、关闭计算机等。Power Users组的成员不可以更改Administrators与BackupOperators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users该组的成员可以通过远程计算机登录。例如：利用终端服务器从远程计算机登录。

Users该组成员只拥有一些基本的权利。例如：运行应用程序，但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。所有添加的本地用户帐户者自动属于该组。如果这台计算机已经加入域，则域的DomainUsers会自动地被加入到该计算机的Users组中。

Cryptographic Operators授权成员执行加密操作。

Distributed COM Users成员允许启动、激活和使用此计算机上的分布式COM对象。

Event Log Readers此组的成员可以从本地计算机中读取事件日志。

IIS_IUSRS Internet信息服务使用的内置组，默认成员NT

AUTHORITY/IUSR Network ConfigurationOperators此组中的成员有部分管理权限来管理网络功能的配置。

Performance Log Users该组中的成员可以计划进行性能计数器日志记录、启用跟踪记录提供程序、以及在本地或通过远程访问此计算机来收集事件跟踪记录。

内置特殊组：
Everone任何一个用户都属于这个组。注意：如果Guest帐号被启用时，则给Everone这个组指派权限时必须小心，因为当一个没有帐户的用户连接计算机时，他被允许自动利用Guest帐户连接，但是因为Guest也是属于Everone组，所以他将具备Everyone所拥有的权限。

Authenticated Users任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时，尽量针对AuthenticatedUsers组进行设置，而不要针对Everone进行设置。

Interactive任何在本地登录的用户都属于这个组。

Network任何通过网络连接此计算机的用户都属于这个组。

Creator Owner文件夹、文件或打印文件等资源的创建者，就是该资源的CreatorOwner(创建所有者)。不过，如果创建者是属于Administrators组内的成员，则其Creator Owner为Administrators组。

Anonymous Logon任何未利用有效的Windows Server 2003帐户连接的用户都属于这个组。注意：在Windows 2003中everone组内并不包含“Anonymous Logon”组。

另：权限是取交集的。 参考技术A 使用的用户是否有管理员权限。如果有管理员权限当然可以更改。
再区分一下，你设置的是本地策略还是用户策略。追问

域用户策略，有本地管理员权限，XP可以禁止更改，WIN7和WIN8不能禁止更改

追答

你把这些设置成本地策略应该会解决。我们公司就是各种OS都有，但是不会有你说的问题。还有我们的域控制器使用的就是2008的版本。

追问

你们公司域控也使用组策略限制用户，具体限制了什么，能说说吗，学习下。你说的本地策略是？

追答

本地策略就是本机的权限，而不是针对用户。百度上好多，你可以自行查找一下。
我们公司设置的地方太多了，具体的设置还是根据上级的指示来设定的。我是其他部门的，不是域管理员，所以具体设置的内容不是很清楚，没办法详细给你列出来。建议你先行了解控制策略里面的各个方向内容，而不是用到什么再去查，之前至少要有个概念。

追问

原来你说的是计算机策略，这个我知道，计算机策略里没有找到有IP地址限制这个，而且计算机策略是应该在计算机上，那么就算我管理员用户进去，也是限制的了，如果有时需要更改IP，那么还是实现不了。