在Windows2003中实施远程访问安全策略

来源：作者：出处：巧巧读书 2006-08-01 进入讨论组

关键词：director os windows windows server 2003 安全

　　概要
　　
　　本文分步介绍了如何在基于 Windows Server 2003 的本机模式域中实施远程访问安全策略。
　　
　　在基于 Windows Server 2003 的本机模式域中，可以使用以下三个远程访问策略：
　　

　　注意：这一实施远程访问安全策略的方法同样适用于独立的基于 Windows Server 2003 的远程访问服务器。 ? 显式允许：将远程访问策略设置为“授予远程访问权限”，且连接尝试满足策略条件。
　　
　　显式拒绝：将远程访问策略设置为“拒绝远程访问权限”，且连接尝试满足策略条件。
　　
　　隐式拒绝：连接尝试不满足任何远程访问策略条件。
　　
　　要实施远程访问策略，请执行下列步骤：
　　
　　1. 配置远程访问策略条件。
　　
　　2. 配置用户帐户拨入设置。
　　
　　如何配置远程访问策略
　　
　　将默认 Windows Server 2003 远程访问策略设置为“如果启用拨入许可，就允许访问”。要实施您的远程访问安全策略，请删除默认策略，然后创建新的远程访问策略：
　　
　　1. 单击“开始”，指向“管理工具”，然后单击“路由和远程访问”。
　　
　　2. 展开“Server_Name”（在这里，Server_Name 是服务器的名称），然后单击“远程访问策略”。
　　
　　注意：如果尚未配置远程访问，请单击“操作”菜单上的“配置并启用路由和远程访问”，然后按照“路由和远程访问服务器安装向导”中的步骤进行操作。
　　
　　3. 在控制台窗格中，右键单击“如果启用拨入许可，就允许访问”，然后单击“删除”。在出现“删除策略”对话框时，请单击“是”。
　　
　　4. 在“操作”菜单上，单击“新建远程访问策略”。
　　
　　5. 创建一个新的远程访问策略。下面的示例阐释了一个远程访问策略，该策略在某些天内显式允许对一个组的远程访问，在其他时间隐式阻止对同一组的访问，并显式阻止对另一个组的远程访问。
　　
　　示例：
　　
　　a.　在“策略友好名称”框中，键入 test policy，然后单击“下一步”。
　　
　　b.　单击“添加”，再单击“Windows 组”，然后单击“添加”两次。
　　
　　c.　在“请输入要选择的对象名称”框中，键入 Domain Users，单击“添加”，再单击“确定”两次，然后单击“下一步”。
　　
　　注意：Domain Users 组仅用于示例目的。Microsoft 建议您创建一个特定的组以用于控制远程访问权限。
　　
　　d.　单击“授予远程访问权限”，然后单击“下一步”。
　　
　　e.　单击“编辑配置文件”，单击以选中“仅允许这些日期和时间”复选框，然后单击“编辑”。
　　
　　f.　单击“拒绝”，单击“周一到周五上午 8:00 到下午 4:00”，再单击“允许”，然后单击“确定”。
　　
　　g.　单击“确定”两次，然后单击“完成”。
　　
　　这样，从周一到周五的上午 8:00 到下午 4:00，可显式允许 Domain Users 组成员的远程访问权限，而在其他日期和时间将隐式拒绝这些成员进行远程访问。
　　
　　h.　在“操作”菜单上，单击“新建远程访问策略”。
　　
　　i.　在“策略友好名称”框中，键入 test block policy，然后单击“下一步”。
　　
　　j.　单击“添加”，再单击“Windows 组”，然后单击“添加”两次。
　　
　　k.　在“请输入要选择的对象名称”框中，键入 Domain Users，单击“添加”，再单击“确定”两次，然后单击“下一步”。
　　
　　l.　单击以选中“拒绝远程访问权限”复选框（如果尚未选中），再单击“下一步”，然后单击“完成”。
　　
　　将显式拒绝 Domain Admins 组成员进行远程访问。
　　
　　6. 创建完远程访问策略后，请退出“路由和远程访问”管理单元。
　　
　　如何配置用户帐户拨入设置
　　
　　指定远程访问权限由远程访问策略控制：
　　
　　1. 单击“开始”，指向“管理工具”，然后执行下列操作之一：
　　
　　如果计算机是 Active Directory 目录服务域控制器：
　　
　　a.　单击“Active Directory 用户和计算机”。
　　
　　b.　在控制台树中，展开“Your_domain”（在这里，Your_domain 是您的域名称），然后单击“用户”。
　　
　　如果计算机是独立的 Windows Server 2003 服务器：
　　
　　a.　单击“计算机管理”。
　　
　　b.　在控制台树中，单击“系统工具”，再单击“本地用户和组”，然后单击“用户”。
　　
　　2. 右键单击所需的用户帐户，然后单击“属性”。
　　
　　3. 在“拨入”选项卡上，单击“通过远程访问策略控制访问”，然后单击“确定”。
　　
　　注意：如果“通过远程访问策略控制访问”不可用（变暗），则 Active Directory 可能是在混合模式下运行的。有关 Active Directory 在混合模式下运行时拨入选项不可用的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
　　
　　193897 (http://support.microsoft.com/kb/193897/) 在混合模式下，无法使用 Active Directory 的拨号选项
　　
　　疑难解答
　　
　　如果您没有使用组在策略配置中指定远程访问权限，请确保禁用了来宾帐户，并将其远程访问权限设置为“拒绝访问”：
　　
　　1. 单击“开始”，指向“管理工具”，然后执行下列操作之一：
　　
　　如果计算机是 Active Directory 域控制器：
　　
　　a.　单击“Active Directory 用户和计算机”。
　　
　　b.　在控制台树中，展开“Your_domain”（在这里，Your_domain 是您的域名称），然后单击“用户”。
　　
　　如果计算机是独立的 Windows Server 2003 服务器：
　　
　　a.　单击“计算机管理”。
　　
　　b.　在控制台树中，单击“系统工具”，再单击“本地用户和组”，然后单击“用户”。
　　
　　2. 右键单击来宾用户帐户，然后单击“属性”。
　　
　　3. 在“拨入”选项卡上，单击“拒绝访问”，然后单击“确定”。 ? 在域控制器中右键单击“来宾”，指向“所有任务”，然后单击“禁用帐户”。收到“对象来宾已被禁用”消息时，单击“确定”。
　　
　　在独立的 Windows Server 2003 服务器中，右键单击“来宾”，然后单击“属性”。单击以选中“帐户已禁用”复选框，然后单击“确定”。
　　
　　退出“计算机管理”或“Active Directory 用户和计算机”。