如题.

系统环境:Windows XP sp2系统. 有两用户:A与B  A为管理员组用户.B为user组用户.
实现要求:此机器处于一局域网内,以A或管理员用户登录并修改本地连接网络配置可以连外网.但此时的配置也同样适用于B用户.现要求B用户不能连外网,而只用自己局域网的网络配置.

如何实现?

系统分区格式为FAT32

设置权限，对计算机的操作之影响本用户，不影响其他用户即可

Quote:

引用第2楼jianxin于2008-01-10 20:02发表的  :
设置权限，对计算机的操作之影响本用户，不影响其他用户即可

FAT32可以设置权限?你的意思是说设置A的权限不影响别的用户设置?

1、你需要设置好a、b用户的权限[这里不多说了，你应该了解的]

2、你的问题：

一.. 运行组策略，方法：开始-运行-gpedit.msc，单击“用户配置”-管理模版-网络-网络连接，右击“禁止访问LAN连接属性”，改为“已启用”，同理依次可以限制“访问权限”等。

补充;在此之前你可以启用"为管理员启用网络连接设置",不起用管理员还是可以更改的[也就是你自己]。[建议不用改动，只作为学习而已]

[这时的受限用户就不能访问外网了，符合你的要求]

此外建议你启用"禁止查看活动连接的状态".


二..  在路由器上用扩展ACL(防问控制列表) 防火墙 配置禁止IP及端口号[这个可能需要第三方软件来实现，你也应该知道很多的，我就不多介绍了]

[针对你的问题，最便捷安全的方法是第一条。]

首先要说明一个情况就是系统分区格式为FAT32。不能更改，你们所说的权限如何设置？
现在试验情况：

B用户原来网络IP设置为：192.168.250.10 
                                              255.255.255.0
                                              192.168.250.1
A用户（管理员组）原来登录查看亦为此配置，但现要求上网配置更改为：
                        192.168.255.10
                                                255.255.255.0
                                                192.168.255.1
A工作完毕后注销以B用户登陆后在CMD模式下查看配置跟A完全一致，即是可以连外网。

A用户登陆时除了修改网络设置还做了楼上所提供的方法

Quote:

一.. 运行组策略，方法：开始-运行-gpedit.msc，单击“用户配置”-管理模版-网络-网络连接，右击“禁止访问LAN连接属性”，改为“已启用”，同理依次可以限制“访问权限”等。

补充;在此之前你可以启用"为管理员启用网络连接设置",不起用管理员还是可以更改的[也就是你自己]。[建议不用改动，只作为学习而已]

结果：B用户不能连外网的目的未能达到。

有一个可能不是完全按照LZ的意思，但也有一定效果的办法 可以试试。
1.将B用户先升至管理员权限（用A升）
2.在B的IE里设置：internet选项  内容  分级审查 启用  “常规”选项卡里 点选“监督人可以...”并创建密码
3.将B的权限降回USER级别

这样B虽然能连外网，但至少网页是看不了的。而且不影响局域网的使用（局域网内的网页，可以在第2步里加至许可站点）应该能满足LZ的大部分要求

Quote:

引用第6楼angelli03于2008-01-11 10:01发表的  :
有一个可能不是完全按照LZ的意思，但也有一定效果的办法 可以试试。
1.将B用户先升至管理员权限（用A升）
2.在B的IE里设置：internet选项  内容  分级审查 启用  “常规”选项卡里 点选“监督人可以...”并创建密码
3.将B的权限降回USER级别

.......

不能说你这个方法不行，问题是如果照你这样做的话B的网络IP设置与A用户还是一样的，我要的效果是分别有自己的IP设置，因为在此局域网内有一个软件要用这个IP设置才能用。虽然可以通过route add命令使B用户同时可上内外网，但现在就是不想B用户有外网的IP设置。

对于lz的要求，我也无能为力了，不知道LZ到底什么意思？

另：对付 电脑菜菜 的小方法，仅作参考。

在b用户的IE浏览器的代理设置里面，设置一个外网代理[当然必须是不可用的代理，并选择[对本地地址不使用代理]]

对内网无影响，外网无法连接。

LZ可以试一下，其他的就自己想办法吧！

Quote:

引用第8楼freelive于2008-01-11 10:59发表的  :
对于lz的要求，我也无能为力了，不知道LZ到底什么意思？

另：对付 电脑菜菜 的小方法，仅作参考。

在b用户的IE浏览器的代理设置里面，设置一个外网代理[当然必须是不可用的代理，并选择[对本地地址不使用代理]]
.......

其实就简单一句话：在不更改系统分区格式FAT32前提下，A用户（管理员组）所做的一切改动不要影响B用户（user组）的原配置。

即A：192.168.255.11 255.255.255.0 192.168.255.1(外网配置）
    B：192.168.250.10 255.255.255.0 192.168.250.1(内网配置）

A组用户可以用虚拟机操作