作为网管，每天烦心的事接连不断。别的不说，就IP地址分配这一简单的事来说，通常都是服务器采用静态IP、客户机采用DHCP自动分配的方式。但是，很多人却不安于这样的方案，总喜欢私自设置IP地址，例如“192.168.0.88”、“192.168.0.188”这类的IP都是人人在抢，结果经常出现IP地址冲突无法上网的局面。其实，要完全禁止这样的事情也不太难，只要在路由器上将用户的IP地址与MAC地址一一绑定，如果私自更改IP地址则无法上网，这样即可起到禁止修改IP的作用。

　　但是以实际工作经验来看，如果从路由器上作限制，工作量比较大，而且用户更换了网卡还需要重新设置，而且也增加了路由的负担。因此，我们还是考虑用客户端入手。目前企业用户客户端的安装一般都是采用克隆安装的方式，即制作好映像文件，然后直接快速恢复即可。因此我们只要在制作映像文件时进行相应的设置就可以了。

　　一、取消本地连接图标

　　当网络连接正常时，会在系统任务栏右侧显示出本地连接的小图标，其样子就是两台小电脑，很多菜鸟用户就是通过这个来修改IP地址的。因为鼠标只要双击图标，即可快速打开本地连接窗口，然后进行IP地址修改。因此，如果我们将该图标隐藏起来，那么就可以阻止很多初级用户私自修改IP.

　　在桌面上右击“网上邻居”图标，在弹出的菜单中选择“属性”命令，在打开的网络和拨号连接窗口中即可看到本地连接图标。右击本地连接图标，在弹出的菜单中选择“属性”，这样就打开了本地连接的属性窗口，在该窗口“常规”标签的底部将“连接后在通知区域显示图标”项取消，再单击“确定”按钮保存设置(图1)，这样任务栏上的本地连接状态图标就不见了。

　　(图1)

　　虽然这样简单的一个步骤，但却可以让50%以上的用户不知道怎么去修改IP了。

　　二、本地连接不可用

　　通过第一种方法，虽然可以将部分用户拒绝门外，但是对有电脑使用经验的人则没有作用了。因为它们知道可以直接通过网上邻居来打开本地连接属性窗口进行修改。因此我们的第二招就是让本地连接的属性不可用，从而将这部分用户挡在门外。

　　我们知道，系统功能的控制都是通过注册表的控制的，但是修改注册表比较麻烦，风险也比较大，我们可以通过组策略来达到这样的目的。

　　打开“运行”窗口，输入“gpedit.msc”后回车打开组策略编辑器，在打开的窗口左侧依次选择“用户配置—管理模板—网络—网络连接”，然后双击右侧的“禁止访问LAN连接的属性”项，在打开的窗口中将其设为“已启用”(图2)，单击“确定”按钮保存设置，这样就无法打开本地连接的属性窗口，修改IP自然无从谈起了。

　　(图2)

　　三、彻底斩断修改之路

　　可以说很多人修改IP都是因为看到了可以修改的地方才进行的，建议将能够进入修改本地连接属性的菜单命令全部隐藏起来，这同样可以起到禁止修改IP的目的。

　　按照前面的方法打开组策略编辑器，然后在左侧选择“用户配置—管理模板—桌面”，再双击右侧的“隐藏桌面上的网上邻居图标”，在打开的窗口中将其设置为“已启用”项(图3)，这样通过右击桌面上网上邻居图标的方式打开本地连接这条路就行不通了。

　　(图3)

　　接下来，再在组策略中选择“用户配置—管理模板—控制面板”，将其中的“禁止访问控制面板”项设为“已启用”，这样不仅可以禁止通过控制面板中的网络与拨号连接来打开本地连接窗口，还可以禁止修改控制面板中提供的所有设置。

　　最后一种是通过开始的设置菜单中打开网络和拨号连接，对此我们同样可以在组策略中选择“用户配置—管理模板—网络和拨号连接”，然后将“从开始菜单删除网络和拨号连接”项启用即可。

　　通过上面几种方法，可以说基本上可以避免用户私自更改IP地址的问题了。当然，要想避免类似事件的发生，建议网管员应做好用户基础培训的工作，让用户养成良好的网络使用习惯，这样一些常见的故障就不会再发生了，从而也降轻自己的工作压力。