简单几招，安全“护驾”DHCP服务器

手工为局域网工作站分配IP地址，不但容易造成IP地址冲突现象发生，而且也不利于高效管理网络，特别是在一些规模较大的局域网环境中，这些弊病尤其特出！有鉴于此，不少单位的网络管理人员往往会使用DHCP服务器来为工作站自动分配IP地址，这样大大提高了网络管理效率；可是，在使用这种方式来管理局域网网络时，DHCP服务器的运行安全性却显得十分重要，毕竟DHCP出现意外的话，整个局域网网络的运行状态都会受到直接影响。为了“护驾”DHCP服务器安全运行，本文提出下面几则安全控制招法，希望能给各位带来帮助！

限定特殊用户管理DHCP服务器

在单位局域网网络中，为了防止普通单位员工随意对DHCP服务器进行管理，从而影响局域网整体运行性能，我们有必要将DHCP服务管理的权限落指派给特定的用户，让这些用户凭借特权帐号进行管理操作。要做到这一点，其实很简单，我们现在假设要将DHCP服务管理“责任”落实给“aaa”用户帐号的话，可以按照如下步骤来设置：

首先以超级管理员身份登录进局域网域服务器中，并在该系统桌面中打开“开始”菜单，并依次单击该菜单下面的“设置”/“控制面板”命令，从其后弹出的窗口中双击“管理工具”图标，打开服务器系统的管理工具列表窗口；

其次选中该管理工具列表窗口中的“Active Directory用户和计算机”工具图标，并用鼠标右键单击之，从随后出现的快捷菜单中单击“作者”命令，进入到局域网的Active Directory用户和计算机列表界面；在该界面的左侧显示区域，找到“Users”选项，并在对应该选项所在的右侧显示区域中，将“DHCP Administrators”选项选中；

图1

接着用鼠标右键单击“DHCP Administrators”选项，从弹出的快捷菜单中单击“属性”命令，打开“DHCP Administrators”属性设置对话框，单击该对话框中的“成员”选项卡，打开如图1所示的选项设置页面， 单击该页面中的“添加”按钮，从随后弹出的选择用户对话框中将特殊用户的帐号“aaa”选中并加入到列表框中，再单击一下“确定”按钮，如此一来我们日后只能以“aaa”帐号来管理DHCP服务器了，如果其他人不知道该用户帐号以及访问密码的话，那么他们就不能随意对DHCP服务器进行管理了，这样的话DHCP服务器安全性就在一定程度上得到了保证。

对特权用户管理权限进行限制

当我们以指定的特权帐号管理DHCP服务器，并在管理过程中不小心发生错误操作时，我们可以尝试将其他的用户帐号添加到“DHCP Administrators”管理组中，然后以这些用户帐号也能对DHCP服务器进行管理和维护。不过，这种管理方式也给服务器系统带来了一定的风险，因为当有心怀不轨的用户将自己加入到“DHCP Administrators”管理组的话，那么他同样能够对DHCP服务器进行一些非法破坏和攻击。为了进一步保护DHCP服务器的安全，我们可以巧妙地对服务器系统的域安全策略进行设置，以便实现对“DHCP Administrators”管理组用户权限进行限制的目的；比方说，要是我们只希望“DHCP Administrators”管理组中的“aaa”帐号能够拥有修改、管理DHCP服务器的权限，而其他的用户帐号只能具有“只读”访问权限时，那么我们就能按照如下步骤来达到设置要求了：

首先在局域网域服务器系统桌面中，依次单击“开始”/“设置”/“控制面板”命令，从其后弹出的窗口中双击“管理工具”图标，打开服务器系统的管理工具列表窗口；

其次用鼠标双击该列表窗口中的“域安全策略”工具，打开服务器系统的安全策略控制台界面，在该界面的左侧显示区域选中“Windows 设置”分支选项，接下来用鼠标依次选中该分支下面的“安全设置”/“受限制的组”选项，在对应“受限制的组”选项所在的右侧显示区域中，用鼠标右键单击该区域的空白位置，从弹出的快捷菜单中执行“添加组”命令，打开如图2所示的添加组对话框， 在该对话框文本栏中输入字符串内容“DHCP Administrators”，并单击“确定”按钮返回；

图2

下面再用鼠标右键单击刚刚添加成功的“DHCP Administrators”管理组，并执行右键菜单中的“安全性”命令，在随后出现的“DHCP Administrators”属性对话框中，继续单击“添加”按钮，并在其后出现的选择用户帐号列表中将“aaa”用户帐号选中并加入到成员列表中，最后单击一下“确定”按钮，如此一来“DHCP Administrators”管理组中的其他用户日后就不能随意管理DHCP服务器了。