概要
本文分步介绍了如何在基于 Windows Server 2003 的本机模式域中实施远程访问安全策略。
在基于 Windows Server 2003 的本机模式域中,可以使用以下三个远程访问策略:
注意:这一实施远程访问安全策略的方法同样适用于独立的基于 Windows Server 2003 的远程访问服务器。 ? 显式允许:将远程访问策略设置为“授予远程访问权限”,且连接尝试满足策略条件。
显式拒绝:将远程访问策略设置为“拒绝远程访问权限”,且连接尝试满足策略条件。
隐式拒绝:连接尝试不满足任何远程访问策略条件。
要实施远程访问策略,请执行下列步骤:
1. 配置远程访问策略条件。
2. 配置用户帐户拨入设置。
如何配置远程访问策略
将默认 Windows Server 2003 远程访问策略设置为“如果启用拨入许可,就允许访问”。要实施您的远程访问安全策略,请删除默认策略,然后创建新的远程访问策略:
1. 单击“开始”,指向“管理工具”,然后单击“路由和远程访问”。
2. 展开“Server_Name”(在这里,Server_Name 是服务器的名称),然后单击“远程访问策略”。
注意:如果尚未配置远程访问,请单击“操作”菜单上的“配置并启用路由和远程访问”,然后按照“路由和远程访问服务器安装向导”中的步骤进行操作。
3. 在控制台窗格中,右键单击“如果启用拨入许可,就允许访问”,然后单击“删除”。在出现“删除策略”对话框时,请单击“是”。
4. 在“操作”菜单上,单击“新建远程访问策略”。
5. 创建一个新的远程访问策略。下面的示例阐释了一个远程访问策略,该策略在某些天内显式允许对一个组的远程访问,在其他时间隐式阻止对同一组的访问,并显式阻止对另一个组的远程访问。
示例:
a.
在“策略友好名称”框中,键入 test policy,然后单击“下一步”。
b.
单击“添加”,再单击“Windows 组”,然后单击“添加”两次。
c.
在“请输入要选择的对象名称”框中,键入 Domain Users,单击“添加”,再单击“确定”两次,然后单击“下一步”。
注意:Domain Users 组仅用于示例目的。Microsoft 建议您创建一个特定的组以用于控制远程访问权限。
d.
单击“授予远程访问权限”,然后单击“下一步”。
e.
单击“编辑配置文件”,单击以选中“仅允许这些日期和时间”复选框,然后单击“编辑”。
f.
单击“拒绝”,单击“周一到周五上午 8:00 到下午 4:00”,再单击“允许”,然后单击“确定”。
g.
单击“确定”两次,然后单击“完成”。
这样,从周一到周五的上午 8:00 到下午 4:00,可显式允许 Domain Users 组成员的远程访问权限,而在其他日期和时间将隐式拒绝这些成员进行远程访问。
h.
在“操作”菜单上,单击“新建远程访问策略”。
i.
在“策略友好名称”框中,键入 test block policy,然后单击“下一步”。
j.
单击“添加”,再单击“Windows 组”,然后单击“添加”两次。
k.
在“请输入要选择的对象名称”框中,键入 Domain Users,单击“添加”,再单击“确定”两次,然后单击“下一步”。
l.
单击以选中“拒绝远程访问权限”复选框(如果尚未选中),再单击“下一步”,然后单击“完成”。
将显式拒绝 Domain Admins 组成员进行远程访问。
6. 创建完远程访问策略后,请退出“路由和远程访问”管理单元。
如何配置用户帐户拨入设置
指定远程访问权限由远程访问策略控制:
1. 单击“开始”,指向“管理工具”,然后执行下列操作之一:
如果计算机是 Active Directory 目录服务域控制器:
a.
单击“Active Directory 用户和计算机”。
b.
在控制台树中,展开“Your_domain”(在这里,Your_domain 是您的域名称),然后单击“用户”。
如果计算机是独立的 Windows Server 2003 服务器:
a.
单击“计算机管理”。
b.
在控制台树中,单击“系统工具”,再单击“本地用户和组”,然后单击“用户”。
2. 右键单击所需的用户帐户,然后单击“属性”。
3. 在“拨入”选项卡上,单击“通过远程访问策略控制访问”,然后单击“确定”。
注意:如果“通过远程访问策略控制访问”不可用(变暗),则 Active Directory 可能是在混合模式下运行的。 有关 Active Directory 在混合模式下运行时拨入选项不可用的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
193897 (http://support.microsoft.com/kb/193897/) 在混合模式下,无法使用 Active Directory 的拨号选项
疑难解答
如果您没有使用组在策略配置中指定远程访问权限,请确保禁用了来宾帐户,并将其远程访问权限设置为“拒绝访问”:
1. 单击“开始”,指向“管理工具”,然后执行下列操作之一:
如果计算机是 Active Directory 域控制器:
a.
单击“Active Directory 用户和计算机”。
b.
在控制台树中,展开“Your_domain”(在这里,Your_domain 是您的域名称),然后单击“用户”。
如果计算机是独立的 Windows Server 2003 服务器:
a.
单击“计算机管理”。
b.
在控制台树中,单击“系统工具”,再单击“本地用户和组”,然后单击“用户”。
2. 右键单击来宾用户帐户,然后单击“属性”。
3. 在“拨入”选项卡上,单击“拒绝访问”,然后单击“确定”。 ? 在域控制器中右键单击“来宾”,指向“所有任务”,然后单击“禁用帐户”。收到“对象来宾已被禁用”消息时,单击“确定”。
在独立的 Windows Server 2003 服务器中,右键单击“来宾”,然后单击“属性”。单击以选中“帐户已禁用”复选框,然后单击“确定”。
退出“计算机管理”或“Active Directory 用户和计算机”。