1.禁止客户端用户修改参数

　　要做到这一点，我们可以在客户端工作站系统桌面中依次单击“开始”/“运行”命令，在其后出现的系统运行文本框中输入“gpedit.msc”字符串命令，单击回车键后，打开对应工作站系统的组策略编辑窗口;在该编辑窗口的左侧显示区域，将鼠标定位于“用户配置”/“管理模板”/“网络”/“网络及拨号连接”节点选项上，在目标节点选项下面双击“可以访问lan连接组件的属性”组策略选项，打开目标组策略属性设置窗口，选中其中的“禁用”选项，再单击“确定”按钮关闭目标组策略属性设置窗口，如此一来客户端用户就不能进入本地连接属性设置对话框，去随意修改客户端工作站的的各种上网参数了。

　　为了防止一些熟悉网络的朋友自行修改本地客户端系统的组策略参数，我们还可以通过反注册本地连接图标的方式，来将本地连接图标隐藏起来，从而达到禁止客户端用户进入本地连接属性设置窗口的目的。我们可以先打开本地客户端系统的“开始”菜单，从中点选“运行”选项，并在弹出的系统运行框中依次执行字符串命令“regsvr32 Netcfgx.dll/u”、“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”，最后再将客户端工作站系统重新启动一下，如此一来系统本地连接图标就会被隐藏起来了，到时客户端用户也就无法随意更改各种上网参数了。

　　当然，还有一种更实用的办法来禁止客户端用户随意修改本地的IP地址参数。在使用该方法时，我们可以先获取本地客户端工作站网卡的物理地址;如果局域网中只有少数几台工作站的IP地址需要绑定时，那么我们只要在Win2000或WinXP系统环境下执行字符串命令“ipconfig /all”，就能获得目标网卡设备的MAC地址了，要是我们想快速获取若干台工作站的网卡MAC地址时，不妨借助类似“MAC地址扫描器”这样的专业查找工具，来批量得到整个工作子网中的所有工作站网卡物理地址。一旦得到目标网卡设备的物理地址后，我们再依次单击“开始”/“运行”命令，在系统运行框中执行字符串命令“cmd”，将系统屏幕转到Ms-dos工作窗口，然后在命令行提示符下执行类似“arp -s ip mac”这样的字符串命令，就能将目标IP地址限制在指定网卡设备上使用了。

　　2.使用DHCP自动分配IP地址

　　使用手工方法为客户端工作站系统逐一分配IP地址，不但费时费力，而且还很容易发生IP地址冲突现象，明显不利于局域网网络的管理与维护。为此，在条件许可的情况下，我们应该考虑在局域网中架设一台DHCP服务器，让DHCP服务器自动为局域网中的所有客户端工作站分配动态IP地址，这样不但解放了网络管理员自己，而且也解决了IP地址频繁冲突的故障现象。当然，对于局域网中的一些重要主机，例如服务器、路由器等，我们可以在DHCP服务器中设置好保留IP地址，以便让重要主机仍然能够正常使用静态IP地址为局域网网络提供服务。

　　3.限制客户端用户操作权限

　　如果将客户端用户的操作权限降低为普通用户组权限，而不是Administrators组权限时，那么客户端用户自然就不能随意对IP地址等系统参数进行修改了，那样的话局域网网络的运行稳定性也就能得到有效保证了。

　　4.尽量使用活动目录管理网络

　　在条件许可的情况，单位局域网应该尽可能安装配置活动目录，使用域方式对局域网客户端进行管理。统一要求客户端用户使用域账户登录局域网，从而防止以前的工作组用户权限相对自由的局面，客户端用户必须使用网络管理员事先分配好的域账户才能登录本地工作站系统，那样一来不但能够有效提高单位员工的安全防范意识，而且还能大大提升局域网网络的运行稳定性。