在Windows2003中實施遠端訪問安全策略(轉)

在Windows2003中實施遠端訪問安全策略(轉)[@more@]

　　概要

　　

　　本文分步介紹瞭如何在基於 Windows Server 2003 的本機模式域中實施遠端訪問安全策略。

　　

　　在基於 Windows Server 2003 的本機模式域中，可以使用以下三個遠端訪問策略：

　　

　　注意：這一實施遠端訪問安全策略的方法同樣適用於獨立的基於 Windows Server 2003 的遠端訪問伺服器。 ? 顯式允許：將遠端訪問策略設定為“授予遠端訪問許可權”，且連線嘗試滿足策略條件。

　　

　　顯式拒絕：將遠端訪問策略設定為“拒絕遠端訪問許可權”，且連線嘗試滿足策略條件。

　　

　　隱式拒絕：連線嘗試不滿足任何遠端訪問策略條件。

　　

　　要實施遠端訪問策略，請執行下列步驟：

　　

　　1. 配置遠端訪問策略條件。

　　

　　2. 配置使用者帳戶撥入設定。

　　

　　如何配置遠端訪問策略

　　

　　將預設 Windows Server 2003 遠端訪問策略設定為“如果啟用撥入許可，就允許訪問”。要實施您的遠端訪問安全策略，請刪除預設策略，然後建立新的遠端訪問策略：

　　

　　1. 單擊“開始”，指向“管理工具”，然後單擊“路由和遠端訪問”。

　　

　　2. 展開“Server_Name”（在這裡，Server_Name 是伺服器的名稱），然後單擊“遠端訪問策略”。

　　

　　注意：如果尚未配置遠端訪問，請單擊“操作”選單上的“配置並啟用路由和遠端訪問”，然後按照“路由和遠端訪問伺服器安裝嚮導”中的步驟進行操作。

　　

　　3. 在控制檯窗格中，右鍵單擊“如果啟用撥入許可，就允許訪問”，然後單擊“刪除”。在出現“刪除策略”對話方塊時，請單擊“是”。

　　

　　4. 在“操作”選單上，單擊“新建遠端訪問策略”。

　　

　　5. 建立一個新的遠端訪問策略。下面的示例闡釋了一個遠端訪問策略，該策略在某些天內顯式允許對一個組的遠端訪問，在其他時間隱式阻止對同一組的訪問，並顯式阻止對另一個組的遠端訪問。

　　

　　示例：

　　

　　a.　在“策略友好名稱”框中，鍵入 test policy，然後單擊“下一步”。

　　

　　b.　單擊“新增”，再單擊“Windows 組”，然後單擊“新增”兩次。

　　

　　c.　在“請輸入要選擇的物件名稱”框中，鍵入 Domain Users，單擊“新增”，再單擊“確定”兩次，然後單擊“下一步”。

　　

　　注意：Domain Users 組僅用於示例目的。Microsoft 建議您建立一個特定的組以用於控制遠端訪問許可權。

　　

　　d.　單擊“授予遠端訪問許可權”，然後單擊“下一步”。

　　

　　e.　單擊“編輯配置檔案”，單擊以選中“僅允許這些日期和時間”核取方塊，然後單擊“編輯”。

　　

　　f.　單擊“拒絕”，單擊“週一到週五上午 8:00 到下午 4:00”，再單擊“允許”，然後單擊“確定”。

　　

　　g.　單擊“確定”兩次，然後單擊“完成”。

　　

　　這樣，從週一到週五的上午 8:00 到下午 4:00，可顯式允許 Domain Users 組成員的遠端訪問許可權，而在其他日期和時間將隱式拒絕這些成員進行遠端訪問。

　　

　　h.　在“操作”選單上，單擊“新建遠端訪問策略”。

　　

　　i.　在“策略友好名稱”框中，鍵入 test block policy，然後單擊“下一步”。

　　

　　j.　單擊“新增”，再單擊“Windows 組”，然後單擊“新增”兩次。

　　

　　k.　在“請輸入要選擇的物件名稱”框中，鍵入 Domain Users，單擊“新增”，再單擊“確定”兩次，然後單擊“下一步”。

　　

　　l.　單擊以選中“拒絕遠端訪問許可權”核取方塊（如果尚未選中），再單擊“下一步”，然後單擊“完成”。

　　

　　將顯式拒絕 Domain Admins 組成員進行遠端訪問。

　　

　　6. 建立完遠端訪問策略後，請退出“路由和遠端訪問”管理單元。

　　

　　如何配置使用者帳戶撥入設定

　　

　　指定遠端訪問許可權由遠端訪問策略控制：

　　

　　1. 單擊“開始”，指向“管理工具”，然後執行下列操作之一：

　　

　　如果計算機是 Active Directory 目錄服務域控制器：

　　

　　a.　單擊“Active Directory 使用者和計算機”。

　　

　　b.　在控制檯樹中，展開“Your_domain”（在這裡，Your_domain 是您的域名稱），然後單擊“使用者”。

　　

　　如果計算機是獨立的 Windows Server 2003 伺服器：

　　

　　a.　單擊“計算機管理”。

　　

　　b.　在控制檯樹中，單擊“系統工具”，再單擊“本地使用者和組”，然後單擊“使用者”。

　　

　　2. 右鍵單擊所需的使用者帳戶，然後單擊“屬性”。

　　

　　3. 在“撥入”選項卡上，單擊“透過遠端訪問策略控制訪問”，然後單擊“確定”。

　　

　　注意：如果“透過遠端訪問策略控制訪問”不可用（變暗），則 Active Directory 可能是在混合模式下執行的。 有關 Active Directory 在混合模式下執行時撥入選項不可用的其他資訊，請單擊下面的文章編號，以檢視 Microsoft 知識庫中相應的文章：

　　

　　193897 () 在混合模式下，無法使用 Active Directory 的撥號選項

　　

　　疑難解答

　　

　　如果您沒有使用組在策略配置中指定遠端訪問許可權，請確保禁用了來賓帳戶，並將其遠端訪問許可權設定為“拒絕訪問”：

　　

　　1. 單擊“開始”，指向“管理工具”，然後執行下列操作之一：

　　

　　如果計算機是 Active Directory 域控制器：

　　

　　a.　單擊“Active Directory 使用者和計算機”。

　　

　　b.　在控制檯樹中，展開“Your_domain”（在這裡，Your_domain 是您的域名稱），然後單擊“使用者”。

　　

　　如果計算機是獨立的 Windows Server 2003 伺服器：

　　

　　a.　單擊“計算機管理”。

　　

　　b.　在控制檯樹中，單擊“系統工具”，再單擊“本地使用者和組”，然後單擊“使用者”。

　　

　　2. 右鍵單擊來賓使用者帳戶，然後單擊“屬性”。

　　

　　3. 在“撥入”選項卡上，單擊“拒絕訪問”，然後單擊“確定”。 ? 在域控制器中右鍵單擊“來賓”，指向“所有任務”，然後單擊“禁用帳戶”。收到“物件來賓已被禁用”訊息時，單擊“確定”。

　　

　　在獨立的 Windows Server 2003 伺服器中，右鍵單擊“來賓”，然後單擊“屬性”。單擊以選中“帳戶已禁用”核取方塊，然後單擊“確定”。

　　

　　退出“計算機管理”或“Active Directory 使用者和計算機”。