كيفية إنشاء وإنفاذ سياسة أمان وصول بعيد في Windows Server 2003

ينطبق على: Microsoft Windows Server 2003 Standard Edition

للحصول على إصدار نظام التشغيل Microsoft Windows 2000 من هذه المقالة، راجع 313082 .

ملخص


توضح هذه المقالة خطوة بخطوة كيفية فرض نهج أمان وصول بعيد في مجال وضع أصلي المستندة إلى نظام التشغيل Microsoft Windows Server 2003. توضح هذه المقالة أيضا كيفية فرض نهج أمان وصول بعيد على ملقم مستقل وصول بعيد المستند إلى Windows Server 2003.

في مجال وضع أصلي المستندة إلى Windows Server 2003، يمكنك استخدام الأنواع الثلاثة التالية من نهج الوصول البعيد:

  • تسمح Explicit
    يتم تعيين نهج الوصول البعيد إلى "منح إذن الوصول البعيد" ومطابقة محاولة الاتصال شروط النهج.
  • الرفض الصريح
    يتم تعيين نهج الوصول البعيد إلى "حجب إذن الوصول البعيد" ومطابقة محاولة الاتصال شروط النهج.
  • رفض Implicit
    لا يطابق محاولة الاتصال بأي شروط نهج الوصول البعيد.
لفرض نهج وصول بعيد، قم بتكوين النهج. ثم تكوين حساب الطلب في إعدادات المستخدم لتحديد الوصول البعيد التي يتم التحكم في الأذونات بنهج الوصول البعيد.

كيفية تكوين نهج وصول البعيد

بشكل افتراضي، تتوفر اثنين من نهج الوصول البعيد في Windows Server 2003:
  • الاتصالات بملقم Microsoft خدمة التوجيه والوصول البعيد
    مطابقة هذا النهج على كل اتصال الوصول عن بعد إلى خدمة التوجيه والوصول البعيد.
  • الاتصالات بخوادم وصول أخرى
    مطابقة هذا النهج على كل اتصال وارد، بغض النظر عن نوع ملقم الوصول إلى شبكة الاتصال.
يستخدم Windows Server 2003 نهج اتصالات إلى ملقمات الوصول فقط عند تحقق أحد الشروط التالية:
  • نهج الاتصالات بملقم Microsoft خدمة التوجيه والوصول البعيد غير متوفر.
  • تم تغيير ترتيب السياسات.
لتكوين نهج أمان وصول عن بعد جديد، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، أشر إلى البرامج، وأشر إلى
    أدوات إدارية، ثم انقر فوق خدمة التوجيه والوصول البعيد.
  2. قم بتوسيع
    اسم _ الملقم، ثم انقر فوق نهج الوصول البعيد.

    ملاحظة: إذا لم يتم تكوين الوصول البعيد، انقر فوق تكوين وتمكين التوجيه والوصول البعيد في القائمة إجراء، وثم اتبع الخطوات في معالج إعداد ملقم الوصول البعيد والتوجيه.
  3. إنشاء نهج جديد لوصول بعيد.

    توضح الخطوات المثال التالي كيفية إنشاء نهج وصول بعيد جديد بشكل صريح منح أذونات الوصول البعيد لمستخدم معين في أيام معينة. يمنع هذا النهج ضمنياً وصول في الأيام الأخرى.
    1. انقر نقراً مزدوجاً فوق نهج الوصول البعيدومن ثم انقر فوق جديد من نهج الوصول البعيد.
    2. في "البعيد الوصول إلى معالج نهج جديد"، انقر فوق التالي.
    3. في المربع اسم النهج ، اكتب
      اختبار النهج، ثم انقر فوق التالي.
    4. أسلوب الوصول إلى الصفحة، انقر فوق الطلب الهاتفي، ومن ثم انقر فوق التالي.
    5. في صفحة الوصول إلى المجموعة أو المستخدم ، انقر فوق المستخدم أو المجموعةومن ثم انقر فوق التالي.

      ملاحظة: إذا أردت تكوين نهج الوصول البعيد لمجموعة، انقر فوق إضافةواكتب اسم المجموعة في المربع إدخال كائن أسماء لتحديد ، وثم انقر فوق موافق.
    6. الصفحة أساليب المصادقة ، تأكد من تحديد خانة الاختيار مصادقة تشفير Microsoft الإصدار 2 (MS CHAPv2) ، ومن ثم انقر فوق التالي.
    7. مستوى تشفير النهج الصفحة، انقر فوق التالي.
    8. انقر فوق إنهاء.

      يظهر اسم نهج اختبار نهج جديد في عقده نهج الوصول البعيد .
    9. في الجزء الأيسر، انقر نقراً مزدوجاً فوق نهج الاختبار، ومن ثم انقر فوق خصائص.
    10. في مربع الحوار خصائص نهج الاختبار ، تأكد من تحديد منح إذن الوصول البعيد .
    11. انقر فوق تحرير ملفوانقر لتحديد خانة الاختيار السماح بالوصول فقط في هذه الأيام والأوقات التالية ثم انقر فوق
      تحرير.
    12. انقر فوق رفض، انقر فوق يوم الاثنين إلى الجمعة من الساعة الثامنة صباحا حتى الساعة 4:00 مساء، انقر فوق
      المسموح بها، ثم انقر فوق موافق.
    13. انقر فوق موافق لإغلاق مربع الحوار تحرير التشكيل الجانبي للطلب الهاتفي .
    14. انقر فوق موافق لإغلاق مربع الحوار خصائص نهج الاختبار .

      اختبار النهج ساري المفعول.
    15. كرر الخطوات من أ إلى لإنشاء نهج الوصول البعيد آخر يسمى سياسة حظر اختبار.
    16. في الجزء الأيسر، انقر نقراً مزدوجاً فوق نهج حظر اختبارومن ثم انقر فوق خصائص.
    17. في مربع الحوار خصائص نهج كتلة الاختبار ، انقر فوق رفض إذن الوصول البعيد.

      اختبار كتلة النهج ساري المفعول.
  4. قم بإنهاء التوجيه والوصول البعيد.


كيفية تكوين حساب الطلب في إعداد "المستخدم"

لتعيين أذونات الوصول البعيد تخضع بنهج الوصول البعيد، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، وأشر إلى
    البرامج، أشر إلى أدوات إداريةومن ثم استخدم إحدى الطرق التالية.

    الطريقة الأولى: لوحدة تحكم مجال "Active Directory"

    إذا كان الكمبيوتر وحدة تحكم مجال خدمة دليل "Active Directory"، اتبع الخطوات التالية:
    1. انقر فوق مستخدمي Active Directory وأجهزة الكمبيوتر.
    2. في شجرة وحدة التحكم، قم بتوسيع
      اسم المجال الخاص بك، ثم انقر فوق المستخدمين.

    الطريقة الثانية: لخادم Windows Server 2003 مستقل

    إذا كان الكمبيوتر مستقل خادم Windows Server 2003، اتبع الخطوات التالية:
    1. انقر فوق إدارة الكمبيوتر.
    2. في شجرة وحدة التحكم، انقر فوق أدوات النظام، انقر فوق المستخدمون المحليون والمجموعات المحلية، وثم انقر فوق
      المستخدمين.
  2. انقر نقراً مزدوجاً فوق حساب المستخدم، ومن ثم انقر فوق
    خصائص.
  3. ضمن علامة التبويب في الطلب ، انقر فوق التحكم بالوصول عبر "نهج الوصول البعيد"ومن ثم انقر فوق
    "موافق".

    ملاحظة: في حالة عدم توفر التحكم بالوصول عبر "نهج الوصول البعيد"، قد تشغيل Active Directory في الوضع المختلط.
    لمزيد من المعلومات حول خيارات الطلب الهاتفي غير متوفرة عندما يكون Active Directory، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    193897 الطلب في الخيارات غير متوفرة مع "Active Directory" في الوضع المختلط

استكشاف الأخطاء وإصلاحها

إذا كنت لا تستخدم مجموعات لتعيين أذونات الوصول البعيد في تكوين نهج، تأكد من أن تعطيل الحساب Guest. أيضا، تأكد من تعيين إذن الوصول البعيد لحساب Guest رفض الوصول. للقيام بذلك، استخدم إحدى الطرق التالية.

الطريقة الأولى: لوحدة تحكم مجال "Active Directory"

  1. انقر فوق ابدأ، وأشر إلى
    البرامج، أشر إلى أدوات إدارية، ومن ثم انقر فوق
    مستخدمي Active directory وأجهزة الكمبيوتر.
  2. في شجرة وحدة التحكم، قم بتوسيع
    اسم المجال الخاص بك، ثم انقر فوق المستخدمين.
  3. انقر فوق الضيفومن ثم انقر فوق
    خصائص.
  4. ضمن علامة التبويب الطلب الهاتفي ، انقر فوق رفض الوصولومن ثم انقر فوق موافق.
  5. انقر بالزر الأيمن
    الضيف، أشر إلى كافة المهام، ومن ثم انقر فوق
    تعطيل الحساب.
  6. عند تلقي الرسالة "تم تعطيل كائن الضيف"، انقر فوق " موافق".
  7. قم بإنهاء مستخدمي Active Directory وأجهزة الكمبيوتر.

الطريقة الثانية: لخادم Windows Server 2003 مستقل

  1. انقر فوق إدارة الكمبيوتر.
  2. في شجرة وحدة التحكم، انقر فوق أدوات النظام، انقر فوق المستخدمون المحليون والمجموعات المحلية، وثم انقر فوق
    المستخدمين.
  3. انقر فوق الضيفومن ثم انقر فوق
    خصائص.
  4. ضمن علامة التبويب الطلب الهاتفي ، انقر فوق رفض الوصولومن ثم انقر فوق موافق.
  5. انقر فوق الضيف، ومن ثم انقر فوق خصائص.
  6. انقر لتحديد خانة الاختيار الحساب معطل ، ومن ثم انقر فوق موافق.
  7. إنهاء "إدارة الكمبيوتر".

المراجع


لمزيد من المعلومات حول نهج الوصول البعيد، انقر فوق ابدأ، انقر فوق التعليمات والدعم، اكتب نهج الوصول البعيد في مربع البحث وثم اضغط ENTER لعرض المواضيع المتوفرة.