在Windows2003中實施遠端訪問安全策略(轉)

RegisterForBlog發表於2007-08-12
在Windows2003中實施遠端訪問安全策略(轉)[@more@]

  概要

  

  本文分步介紹瞭如何在基於 Windows Server 2003 的本機模式域中實施遠端訪問安全策略。

  

  在基於 Windows Server 2003 的本機模式域中,可以使用以下三個遠端訪問策略:

  

  注意:這一實施遠端訪問安全策略的方法同樣適用於獨立的基於 Windows Server 2003 的遠端訪問伺服器。 ? 顯式允許:將遠端訪問策略設定為“授予遠端訪問許可權”,且連線嘗試滿足策略條件。

  

  顯式拒絕:將遠端訪問策略設定為“拒絕遠端訪問許可權”,且連線嘗試滿足策略條件。

  

  隱式拒絕:連線嘗試不滿足任何遠端訪問策略條件。

  

  要實施遠端訪問策略,請執行下列步驟:

  

  1. 配置遠端訪問策略條件。

  

  2. 配置使用者帳戶撥入設定。

  

  如何配置遠端訪問策略

  

  將預設 Windows Server 2003 遠端訪問策略設定為“如果啟用撥入許可,就允許訪問”。要實施您的遠端訪問安全策略,請刪除預設策略,然後建立新的遠端訪問策略:

  

  1. 單擊“開始”,指向“管理工具”,然後單擊“路由和遠端訪問”。

  

  2. 展開“Server_Name”(在這裡,Server_Name 是伺服器的名稱),然後單擊“遠端訪問策略”。

  

  注意:如果尚未配置遠端訪問,請單擊“操作”選單上的“配置並啟用路由和遠端訪問”,然後按照“路由和遠端訪問伺服器安裝嚮導”中的步驟進行操作。

  

  3. 在控制檯窗格中,右鍵單擊“如果啟用撥入許可,就允許訪問”,然後單擊“刪除”。在出現“刪除策略”對話方塊時,請單擊“是”。

  

  4. 在“操作”選單上,單擊“新建遠端訪問策略”。

  

  5. 建立一個新的遠端訪問策略。下面的示例闡釋了一個遠端訪問策略,該策略在某些天內顯式允許對一個組的遠端訪問,在其他時間隱式阻止對同一組的訪問,並顯式阻止對另一個組的遠端訪問。

  

  示例:

  

  a. 在“策略友好名稱”框中,鍵入 test policy,然後單擊“下一步”。

  

  b. 單擊“新增”,再單擊“Windows 組”,然後單擊“新增”兩次。

  

  c. 在“請輸入要選擇的物件名稱”框中,鍵入 Domain Users,單擊“新增”,再單擊“確定”兩次,然後單擊“下一步”。

  

  注意:Domain Users 組僅用於示例目的。Microsoft 建議您建立一個特定的組以用於控制遠端訪問許可權。

  

  d. 單擊“授予遠端訪問許可權”,然後單擊“下一步”。

  

  e. 單擊“編輯配置檔案”,單擊以選中“僅允許這些日期和時間”核取方塊,然後單擊“編輯”。

  

  f. 單擊“拒絕”,單擊“週一到週五上午 8:00 到下午 4:00”,再單擊“允許”,然後單擊“確定”。

  

  g. 單擊“確定”兩次,然後單擊“完成”。

  

  這樣,從週一到週五的上午 8:00 到下午 4:00,可顯式允許 Domain Users 組成員的遠端訪問許可權,而在其他日期和時間將隱式拒絕這些成員進行遠端訪問。

  

  h. 在“操作”選單上,單擊“新建遠端訪問策略”。

  

  i. 在“策略友好名稱”框中,鍵入 test block policy,然後單擊“下一步”。

  

  j. 單擊“新增”,再單擊“Windows 組”,然後單擊“新增”兩次。

  

  k. 在“請輸入要選擇的物件名稱”框中,鍵入 Domain Users,單擊“新增”,再單擊“確定”兩次,然後單擊“下一步”。

  

  l. 單擊以選中“拒絕遠端訪問許可權”核取方塊(如果尚未選中),再單擊“下一步”,然後單擊“完成”。

  

  將顯式拒絕 Domain Admins 組成員進行遠端訪問。

  

  6. 建立完遠端訪問策略後,請退出“路由和遠端訪問”管理單元。

  

  如何配置使用者帳戶撥入設定

  

  指定遠端訪問許可權由遠端訪問策略控制:

  

  1. 單擊“開始”,指向“管理工具”,然後執行下列操作之一:

  

  如果計算機是 Active Directory 目錄服務域控制器:

  

  a. 單擊“Active Directory 使用者和計算機”。

  

  b. 在控制檯樹中,展開“Your_domain”(在這裡,Your_domain 是您的域名稱),然後單擊“使用者”。

  

  如果計算機是獨立的 Windows Server 2003 伺服器:

  

  a. 單擊“計算機管理”。

  

  b. 在控制檯樹中,單擊“系統工具”,再單擊“本地使用者和組”,然後單擊“使用者”。

  

  2. 右鍵單擊所需的使用者帳戶,然後單擊“屬性”。

  

  3. 在“撥入”選項卡上,單擊“透過遠端訪問策略控制訪問”,然後單擊“確定”。

  

  注意:如果“透過遠端訪問策略控制訪問”不可用(變暗),則 Active Directory 可能是在混合模式下執行的。 有關 Active Directory 在混合模式下執行時撥入選項不可用的其他資訊,請單擊下面的文章編號,以檢視 Microsoft 知識庫中相應的文章:

  

  193897 () 在混合模式下,無法使用 Active Directory 的撥號選項

  

  疑難解答

  

  如果您沒有使用組在策略配置中指定遠端訪問許可權,請確保禁用了來賓帳戶,並將其遠端訪問許可權設定為“拒絕訪問”:

  

  1. 單擊“開始”,指向“管理工具”,然後執行下列操作之一:

  

  如果計算機是 Active Directory 域控制器:

  

  a. 單擊“Active Directory 使用者和計算機”。

  

  b. 在控制檯樹中,展開“Your_domain”(在這裡,Your_domain 是您的域名稱),然後單擊“使用者”。

  

  如果計算機是獨立的 Windows Server 2003 伺服器:

  

  a. 單擊“計算機管理”。

  

  b. 在控制檯樹中,單擊“系統工具”,再單擊“本地使用者和組”,然後單擊“使用者”。

  

  2. 右鍵單擊來賓使用者帳戶,然後單擊“屬性”。

  

  3. 在“撥入”選項卡上,單擊“拒絕訪問”,然後單擊“確定”。 ? 在域控制器中右鍵單擊“來賓”,指向“所有任務”,然後單擊“禁用帳戶”。收到“物件來賓已被禁用”訊息時,單擊“確定”。

  

  在獨立的 Windows Server 2003 伺服器中,右鍵單擊“來賓”,然後單擊“屬性”。單擊以選中“帳戶已禁用”核取方塊,然後單擊“確定”。

  

  退出“計算機管理”或“Active Directory 使用者和計算機”。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10763080/viewspace-948462/,如需轉載,請註明出處,否則將追究法律責任。

相關文章