在WindowsNT中,远程连接的授权只能靠授予用户账户拨入权限来实现,而Windows200OServer新增了远程访问策略,可以更灵活、更方便地实现远程连接的授权,这样就可以将用户账户的拨入属性和远程访问策略结合起来实现复杂的访问权限设置。
远程访问策略简介
远程访问策陷是针对远程连接(拨号连接或VPN连接)设置的一组条件和权限,用于规定用户的远程访问权限。用户只有在符合远程访问策略的前提下,才能连接到远程访问服务器,并根据远程访问策略的规定访问远程访问服务器及其网络资源。使用远程访问策略,可以根据所设条件(如时间限制、连接类型限制等)来授权。
Windows2000远程访问服务器和Internet验证服务器(IAS)都使用远程访问策略来限制连接尝试。远程访问策略集中在本地存储,对于Windows2000远程访问服务器来说,通过路由和远程访问服务控制台来集中管理,远程策略存储在远程访问服务器上;对于晰ndows200OIAS服务器来说,通过Internet验证服务管理器来管理,远程访问策略集中存储在IAS服务器上。关于IAS服务器的远程策略请参见4.9.5节。如果将远程访问服务器配置为RDIUS客户机,则存储在该远程访问服务器上的策略将不再被应用。
远程访问策略与windows2000的组策略不同,远程访问策略不能存储在活动目录中。
远程访问策略实际上就是一种规则,由条件、远程访问权限和配置文件(Profile)3个部分构成。
条件就是应用远程访问策略的前提。如果有多个条件,连接尝试应匹配所有的条件。
远程访问权限是由用户账户远程访问权限和远程访问策路权限共同决定的,用户账户远程访问权限优先于策略远程访问权限。只有当用户账户上的远程访问权限被设置为 "通过远程访问策略控制访问"选项时,策略远程访问权限才能决定是否授予用户访问权限。
配置文件用来进一步限制连接,只有选中"授予远程访问权限"选项,配置文件才能生效。
对每个用户账户授予或拒绝远程访问权限。
远程访问策略应用流程
了解远程访问策略作用的流程,便于管理员正确地应用远程策略。整个流程如图4.49所示。当用户进行连接尝试时,将通过以下步骤逐步进行检查,以决定是否授予访问权限。
(1)首先检查远程访问策略列表中的第一个策略。如果没有任何策略,将拒绝连接尝试。
(2)如果连接尝试与该策略的所有条件都不匹配,则转到下一个策略。如果没有其他策略,则拒绝连接
如果一个策略中含有多个条件,就必须符合所有条件,才能算作匹配该策略。如果一个策略也没有,将不能建立连接。如果连接尝试没有找到一个匹配的策略,也不能建立连接。
(3)如果该策略的所有条件都与连接尝试相匹配。则检查尝试连接的用户账户的远程访问权限设置。
(4)根据用户账户的远程访问权限设置(在用户账户拨入属性对话框中设置,参见4.3.5节)来决定下一步的连接尝试。
如果选中了[拒绝访问],则拒绝连接尝试。
如果选中了[允许访问],则通过检查用户账户属性和策略配置文件属性来决定连接尝试。有两种情况:1、如果连接尝试与用户账户属性和配置文件属性的设置不匹配,则拒绝连接尝试。2、如果连接与用户账户属性和策路配置文件属性的设置匹配,则接受连接尝试。
如果选中[通过远程访问策略控制访问],将通过检查策略的远程访问权限设置来决定连接尝试。有两种情况;3、如果选中[拒绝远程访问权限],则拒绝连接尝试。4、如果选中[授予远程访问权限],则通过检查用户账户属性和策略配置文件属性来决定连接尝试,还有两种情况:(a)如果连接尝试与用户账户属性和策略配置文件属性的设置不匹配,则拒绝连接尝试。(b) 如果连接尝试与用户账户属性和配置文件属性的设置匹配,则接受连接尝试。
(5)如果接受连接尝试,则将策略配置文件属性应用于远程连接。策略配置文件将最终决定是否拒绝连接尝试,或者根据条件中断已经建立的连接。
如果连接与第一个匹配远程访问策略的配置文件或用户账户设置不匹配,则不会尝试其他远程访问策略。远程访问策略按顺序进行尝试,通常都是将较特殊的远程访问策略按顺序放置在较普遍的远程访问策略之前。使用远程访问策略,只有在连接尝试的设置与远程访问策略相匹配时,才会授权连接。如果连接尝试的设置至少与远程访问策略中的一个不匹配,不管用户账户的拨入属性如何设置,都将拒绝连接尝试。
(未完待续)