扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2009年1月16日
关键字: 局域网
组建局域网络,最大的应用莫过于文档资源、音视频资源的共享以及打印机的共享。但为了方便网络的管理,往往会对局域网内用户进行一些使用权限的限制;比如限制局域网用户在某一时段禁止登录腾讯QQ、禁止访问服务器某文件夹等。但有时这些管理限制又会跟用户带来一些不便,这时要考虑的又是如何突破这些限制;本文所要带给大家的,就是这些方面的内容。
一、限制共享文件夹大小。
只要是Windows 2000及以上的操作系统,都具有磁盘配额功能;它可以在每一个硬盘分区中限制任意一个用户或者组的最大磁盘使用容量,当然也就能限制具体的共享文件夹。而要使用这一功能,必须同时具备三要素:Windows 2000以上操作系统、具有管理员权限、分区格式为NTFS.
Windows 2000默认安装了此功能,而Windows XP则需要手动安装。要设置配额时,打开“我的电脑”,用鼠标右击要启用磁盘配额的磁盘分区或文件,然后单击“属性”,在“属性”对话框中,单击“配额”选项卡,如图1所示。
在“配额”选项卡中选中“启用配额管理”复选框,然后单击“应用”按钮。此时磁盘配额功能已经启用,再通过以下两点的设置,即可达到限制大小的目的:
(1)选中“拒绝将磁盘空间分配给超过配额限制的用户”复选框。这样超过其配额限制的用户将会被提示“磁盘空间不足”。只有这样,磁盘容量限制的作用才能生效。
(2)输入具体的磁盘容量数据。即是说勾选“将磁盘空间限制为”选项,根据需要输入适当的数值即可。
注:除了以上应用外,在FTP服务器的配置中,也应该启用此功能。因为磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此就要对每位FTP用户使用的磁盘空间进行限制。
反限制:由服务器方配置的磁盘配额选项,目前似乎还未找到一种成熟的破解办法。只能通过暴力的办法,在服务器上去除管理员账号,再重新自己配置一个管理员账号来修改配额选项;修改完成后再重新恢复以前的管理员账号,这样就可做到“神不知鬼不觉”。
二、在“网上邻居”中隐藏计算机。
有时为了限制别人随意通过网上邻居访问到某台电脑,可以将这台电脑在网上邻居中隐藏起来。要实现这种隐藏,比较简单的办法是在DOS命令提示符窗口中运行“net config server /hidden:yes”命令即可。
另一办法就是修改注册表,找到KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Rarameters分支,然后新建或修改“Hidden”键值为1即可,如图2所示。
反限制:在网上邻居中隐藏计算机虽然可以实现,但并不代表就不能访问,只是给其他用户一个假象而已,他们仍然可以通过在浏览器或“我的电脑”的地址栏里输入“\\IP地址或计算机名”来找到。
三、限制部分用户的Internet访问。
有时在某个时段,需要在局域网中设置让用户无法访问Internet、腾讯QQ、MSN等,以提醒员工认真工作。这类限制主要通过代理服务器软件来实现,当然如果安装了美萍等网管软件更好;而日常使用最多的代理服务器软件主要是Sygate和Wingate,下面分别讲解。
(1)使用Sygate,可以通过设置黑白名单,禁止某些IP地址的访问来实现。
在Sygate主界面工具条上单击Permissions(权限)按钮,输入用户的口令,单击“OK”按钮,进入Permissions Editor窗口。Blacklist下列出了禁止访问的网站,White List用来指定可以通过Sygate上网的客户端。单击Add按钮向黑名单中添加IP地址,出现添加记录窗口,如图3所示。
Protocol (协议):可以在下拉列表中选择协议类型(TCP或UDP)。
Port No(端口号):可以通过禁止端口服务的方法,限制HTTP、SMTP、POP3、TELNET等服务的生效,AllPort:是所有服务禁用。比如让某客户机不能进行浏览,就可禁止80端口。
Start:可以设定生效时间。这不仅可以限制某人,也可限制某时。
(2)Wingate的用户身份验证方式同样也可实现。
1)在Wingate服务器主程序“Gatekeeper”对话框中双击“WWW Proxy Server”选项,然后在如图4所示对话框中选择“Use Java client authentication as required by policies”复选项。
2)在上图对话框中单击顶上向右箭头,选择“Policies”标签项;在接着出现的对话框内单击“Add”按钮,在出现的如图5所示窗口中,勾选 “User must be authentication”后,单击“OK”按钮返回,此时会自动生成一个新的策略项,使之生效。
通过以上设置后,当被限制的客户端要访问互联网时,会自动弹出身份验证对话框,要求用户输入相应的身份信息,只有合法的用户才可以进行相应的应用,如图6所示。
反限制:在上面利用代理服务器软件设置的限制中,主要是通过限制了欲访问的IP地址来达到目的;对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易,比如QQ、网页访问等,都可以配置一个80端口的代理服务器地址,绕过服务器的限制来突破(为QQ、浏览器配置代理上网的操作,相信朋友们都会,这里就不详述了)。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。