建立自己的远程访问策略
当启用路由和远程访问服务时,默认的远程访问策略名称是 "如果启用拨入许可,就允许访问',当然可以更改该策略名称。默认策略的条件是任何日期任何时间,远程访问权限为 "拒绝远程访问权限",配置文件没有设置,显然使用该策略不能连接到服务器,但是将用户账户拨入属性设置为 "允许访问",仍然可以连接到远程访问服务器。
通过用户账户权限设置或策略权限设置授予访问权限只是接受连接中的第一个步骤。如果连接尝试与用户账户属性或配置文件属性的设置不匹配。则仍将拒绝连接尝试。默认情况下,远程访问策略总是选中"拒绝远程访问权限"策略权限。
下面示范远程访问策略的创建步骤。
(1)打开[路由和远程访问]控制台。展开目录树。
(2)用鼠标右键单击[远程访问策略],从弹出的快捷菜单中选择[新建远程访问策略],启动添加远程访问策略向导,
(3)为策略指定名称,单击[下一步]按钮。
(4)出现如图4.50所示的策略条件设置对话框,单击[添加]按钮。
(5)出现如图4.51所示的对话框,选择要添加的条件类型。
总共提供了13种条件类型,见表4.2,其中有5条只能用于IAS(Internet验证服务器)的远程访问策略。
条件中经常用到NAS一词,本章是还要多次用到。NAS是网络服务器的英文简称。在Window2000 Server中。NAS就是远程访问服务器,在RABUDS网络中,NAS往往指RADIUS客户机。
(6)作为示范。这里选择[Day-And-Time-Restrictions],出现如图4.52所示的对话框,将时间限制设置为每周星期一至星期五的7点至18点。
这里的"允许"和"已拒绝"并非针对连接,而是用来定义时间范围,"已拒绝"表示已排除的时间范围。
(7)单击[确定]按铂"回到如图4.53所示的对话框。新增条件项已列入条件列表,可以根据需要添加多个条件、编辑和删除已有条件。
(8)单击[下一步]按钮,出现如图4.54所示的对话框,决定是否授予远程访问权限。这里选择(授予访问权限],表示如果符合条件。将允许连接到远程访问服务器。
默认选中[拒绝访问权限]表示如果符合条件,将不被先许连接到远程访问服务器。如果将用户账户访问权限设置为 "允许访问"或 "拒绝访问",那么远程访问策略上的远程访问权限设置将被有效替代。
(9)单击[下一步],出现如图4.55所示的对话框,提示编辑用户配置文件,单击[编辑配置文件]。也可单击[完成]按钮,创建一个没有设置配置文件的策略,以后再根据需要编辑配置文件。
(10)进入拨入配置文件编辑对话框,有6个选项卡供管理员对连接访问进行控制,可根据需要设置。下面逐个进行介绍。
(未完待续)