在Windows 2003中实施远程访问安全策略

在Windows 2003中实施远程访问安全策略 - 电脑安全 - 电脑教程网

在Windows 2003中实施远程访问安全策略

日期:2006-06-24   荐:
  概要    本文分步介绍了如何在基于 Windows Server 2003 的本机模式域中实施远程访问安全策略。    在基于 Windows Server 2003 的本机模式域中,可以使用以下三个远程访问策略:    注意:这一实施远程访问安全策略的方法同样适用于独立的基于 Windows Server 2003 的远程访问服务器。 ? 显式允许:将远程访问策略设置为“授予远程访问权限”,且连接尝试满足策略条件。    显式拒绝:将远程访问策略设置为“拒绝远程访问权限”,且连接尝试满足策略条件。    隐式拒绝:连接尝试不满足任何远程访问策略条件。    要实施远程访问策略,请执行下列步骤:    1. 配置远程访问策略条件。    2. 配置用户帐户拨入设置。    如何配置远程访问策略    将默认 Windows Server 2003 远程访问策略设置为“如果启用拨入许可,就允许访问”。要实施您的远程访问安全策略,请删除默认策略,然后创建新的远程访问策略:    1. 单击“开始”,指向“管理工具”,然后单击“路由和远程访问”。    2. 展开“Server_Name”(在这里,Server_Name 是服务器的名称),然后单击“远程访问策略”。    注意:如果尚未配置远程访问,请单击“操作”菜单上的“配置并启用路由和远程访问”,然后按照“路由和远程访问服务器安装向导”中的步骤进行操作。    3. 在控制台窗格中,右键单击“如果启用拨入许可,就允许访问”,然后单击“删除”。在出现“删除策略”对话框时,请单击“是”。    4. 在“操作”菜单上,单击“新建远程访问策略”。    5. 创建一个新的远程访问策略。下面的示例阐释了一个远程访问策略,该策略在某些天内显式允许对一个组的远程访问,在其他时间隐式阻止对同一组的访问,并显式阻止对另一个组的远程访问。    示例:    a. 在“策略友好名称”框中,键入 test policy,然后单击“下一步”。    b. 单击“添加”,再单击“Windows 组”,然后单击“添加”两次。    c. 在“请输入要选择的对象名称”框中,键入 Domain Users,单击“添加”,再单击“确定”两次,然后单击“下一步”。    注意:Domain Users 组仅用于示例目的。Microsoft 建议您创建一个特定的组以用于控制远程访问权限。    d. 单击“授予远程访问权限”,然后单击“下一步”。    e. 单击“编辑配置文件”,单击以选中“仅允许这些日期和时间”复选框,然后单击“编辑”。    f. 单击“拒绝”,单击“周一到周五上午 8:00 到下午 4:00”,再单击“允许”,然后单击“确定”。    g. 单击“确定”两次,然后单击“完成”。    这样,从周一到周五的上午 8:00 到下午 4:00,可显式允许 Domain Users 组成员的远程访问权限,而在其他日期和时间将隐式拒绝这些成员进行远程访问。    h. 在“操作”菜单上,单击“新建远程访问策略”。    i. 在“策略友好名称”框中,键入 test block policy,然后单击“下一步”。    j. 单击“添加”,再单击“Windows 组”,然后单击“添加”两次。    k. 在“请输入要选择的对象名称”框中,键入 Domain Users,单击“添加”,再单击“确定”两次,然后单击“下一步”。    l. 单击以选中“拒绝远程访问权限”复选框(如果尚未选中),再单击“下一步”,然后单击“完成”。    将显式拒绝 Domain Admins 组成员进行远程访问。    6. 创建完远程访问策略后,请退出“路由和远程访问”管理单元。    如何配置用户帐户拨入设置    指定远程访问权限由远程访问策略控制:    1. 单击“开始”,指向“管理工具”,然后执行下列操作之一:    如果计算机是 Active Directory 目录服务域控制器:    a. 单击“Active Directory 用户和计算机”。    b. 在控制台树中,展开“Your_domain”(在这里,Your_domain 是您的域名称),然后单击“用户”。    如果计算机是独立的 Windows Server 2003 服务器:    a. 单击“计算机管理”。    b. 在控制台树中,单击“系统工具”,再单击“本地用户和组”,然后单击“用户”。    2. 右键单击所需的用户帐户,然后单击“属性”。    3. 在“拨入”选项卡上,单击“通过远程访问策略控制访问”,然后单击“确定”。    注意:如果“通过远程访问策略控制访问”不可用(变暗),则 Active Directory 可能是在混合模式下运行的。 有关 Active Directory 在混合模式下运行时拨入选项不可用的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:    193897 (http://support.microsoft.com/kb/193897/) 在混合模式下,无法使用 Active Directory 的拨号选项    疑难解答    如果您没有使用组在策略配置中指定远程访问权限,请确保禁用了来宾帐户,并将其远程访问权限设置为“拒绝访问”:    1. 单击“开始”,指向“管理工具”,然后执行下列操作之一:    如果计算机是 Active Directory 域控制器:    a. 单击“Active Directory 用户和计算机”。    b. 在控制台树中,展开“Your_domain”(在这里,Your_domain 是您的域名称),然后单击“用户”。    如果计算机是独立的 Windows Server 2003 服务器:    a. 单击“计算机管理”。    b. 在控制台树中,单击“系统工具”,再单击“本地用户和组”,然后单击“用户”。    2. 右键单击来宾用户帐户,然后单击“属性”。     3. 在“拨入”选项卡上,单击“拒绝访问”,然后单击“确定”。 ? 在域控制器中右键单击“来宾”,指向“所有任务”,然后单击“禁用帐户”。收到“对象来宾已被禁用”消息时,单击“确定”。    在独立的 Windows Server 2003 服务器中,右键单击“来宾”,然后单击“属性”。单击以选中“帐户已禁用”复选框,然后单击“确定”。    退出“计算机管理”或“Active Directory 用户和计算机”。
标签: