Cómo crear y aplicar una directiva de seguridad de acceso remoto en Windows Server 2003

Se aplica a: Microsoft Windows Server 2003

Para una versión de Microsoft Windows 2000 de este artículo, consulte 313082 .

Resumen


En este artículo paso a paso se describe cómo exigir una directiva de seguridad de acceso remoto en un dominio de modo nativo basado en Microsoft Windows Server 2003. Este artículo también describe cómo exigir una directiva de seguridad de acceso remoto en un servidor de acceso remoto basado en Windows Server 2003 independiente.

En un dominio de modo nativo basado en Windows Server 2003, puede utilizar los siguientes tres tipos de directivas de acceso remoto:

  • Permitir explícito
    La directiva de acceso remoto está establecida como "Conceder permiso de acceso remoto" y el intento de conexión cumple las condiciones de directiva.
  • Denegar explícito
    La directiva de acceso remoto está establecida en "Denegar permiso de acceso remoto" y el intento de conexión cumple las condiciones de directiva.
  • Denegar implícito
    El intento de conexión no coincide con las condiciones de la directiva de acceso remoto.
Para aplicar una directiva de acceso remoto, configure la directiva. A continuación, configure la configuración cuentas de usuario de acceso telefónico para especificar que los permisos están controlados por la directiva de acceso remoto el acceso remoto.

Cómo configurar una directiva de acceso remoto

De forma predeterminada, las dos directivas de acceso remoto están disponibles en Windows Server 2003:
  • Conexiones al servidor Microsoft Routing y acceso remoto
    Esta directiva coincide con cada conexión de acceso remoto que se realiza en el servicio de enrutamiento y acceso remoto.
  • Conexiones a otros servidores de acceso
    Esta directiva coincide con cada conexión entrante, independientemente del tipo de servidor de acceso de red.
Windows Server 2003 utiliza la directiva de conexiones a otros servidores de acceso sólo cuando se cumple una de las siguientes condiciones:
  • La directiva de conexiones al servidor de enrutamiento y acceso remoto no está disponible.
  • Ha cambiado el orden de las directivas.
Para configurar una nueva directiva de seguridad de acceso remoto, siga estos pasos:
  1. Haga clic en Inicio, seleccione programas, seleccione
    Herramientas administrativasy, a continuación, haga clic en enrutamiento y acceso remoto.
  2. Expandir
    Nombre_servidory, a continuación, haga clic en Directivas de acceso remoto.

    Nota: Si no ha configurado el acceso remoto, haga clic en configurar y habilitar enrutamiento y acceso remoto en el menú accióny, a continuación, siga los pasos en el Asistente para la instalación del servidor de acceso remoto y enrutamiento.
  3. Crear una nueva directiva de acceso remoto.

    Los pasos de ejemplo siguientes muestran cómo crear una nueva directiva de acceso remoto que concede explícitamente permisos de acceso remoto a un usuario específico en determinados días. Esta directiva bloquea implícitamente el acceso en otros días.
    1. Haga clic en Directivas de acceso remotoy, a continuación, haga clic en Nueva directiva de acceso remoto.
    2. En el Asistente para nueva directiva de acceso remoto, haga clic en siguiente.
    3. En el cuadro nombre de directiva , escriba
      Directiva de pruebay, a continuación, haga clic en siguiente.
    4. En la página Método de acceso , haga clic en Dial-upy, a continuación, haga clic en siguiente.
    5. En la página de acceso de grupo o usuario , haga clic en el usuario o grupoy, a continuación, haga clic en siguiente.

      Nota: Si desea configurar la directiva de acceso remoto para un grupo, haga clic en Agregar, escriba el nombre del grupo en el cuadro Escriba los nombres del objeto a seleccionar y, a continuación, haga clic en Aceptar.
    6. En la página Métodos de autenticación , asegúrese de que está seleccionada sólo la casilla de verificación Autenticación cifrada de Microsoft versión 2 (MS-CHAPv2) y, a continuación, haga clic en siguiente.
    7. En la página Nivel de cifrado de directiva , haga clic en siguiente.
    8. Haga clic en Finalizar.

      Una nueva directiva denominada Directiva de prueba aparece en el nodo Directivas de acceso remoto .
    9. En el panel derecho, haga clic en Directiva de pruebay, a continuación, haga clic en Propiedades.
    10. En el cuadro de diálogo Propiedades de directiva de prueba , asegúrese de que está activada la opción conceder permiso de acceso remoto .
    11. Haga clic en Editar perfil, haga clic para activar la casilla de verificación Permitir acceso sólo en estos días y horas y, a continuación, haga clic en
      Editar.
    12. Haga clic en denegado, lunes al viernes de 8:00 A.M. a 4:00 P.M., haga clic en
      Está permitidoy, a continuación, haga clic en Aceptar.
    13. Haga clic en Aceptar para cerrar el cuadro de diálogo modificar el perfil de marcado .
    14. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de directiva de prueba .

      La prueba la directiva está en vigor.
    15. Repita los pasos a h para crear otra directiva de acceso remoto denominada Directiva de bloqueo de prueba.
    16. En el panel derecho, haga clic en Directiva de bloqueo de pruebay, a continuación, haga clic en Propiedades.
    17. En el cuadro de diálogo Propiedades de directiva del bloque de prueba , haga clic en Denegar permiso de acceso remoto.

      La directiva de bloqueo de prueba está en efecto.
  4. Salga de enrutamiento y acceso remoto.


Cómo configurar la configuración de acceso telefónico de cuenta de usuario

Para especificar que los permisos de acceso remoto están controlados por la directiva de acceso remoto, siga estos pasos:
  1. Haga clic en Inicio, elija
    Programas, herramientas Administrativasy, a continuación, utilice uno de los métodos siguientes.

    Método 1: para un controlador de dominio de Active Directory

    Si el equipo es un controlador de dominio del servicio de directorio de Active Directory, siga estos pasos:
    1. Haga clic en usuarios y equipos Active Directory.
    2. En el árbol de consola, expanda
      SuDominioy, a continuación, haga clic en usuarios.

    Método 2: para un servidor independiente de Windows Server 2003

    Si el equipo es un servidor independiente de Windows Server 2003, siga estos pasos:
    1. Haga clic en administración de equipos.
    2. En el árbol de consola, haga clic en Herramientas del sistema, haga clic en usuarios locales y gruposy, a continuación, haga clic en
      Los usuarios.
  2. Haga clic en la cuenta de usuario y, a continuación, haga clic en
    Propiedades.
  3. En la ficha marcado , haga clic en Controlar acceso a través de la directiva de acceso remotoy, a continuación, haga clic en
    Aceptar.

    Nota: Si Controlar acceso a través de la directiva de acceso remotono está disponible, puede ejecutar Active Directory en modo mixto.
    Para obtener más información acerca de las opciones de acceso telefónico que no están disponibles cuando Active Directory está, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    193897 opciones de acceso telefónico disponibles con Active Directory en modo mixto

Solución de problemas

Si no utiliza grupos para especificar los permisos de acceso remoto en la configuración de directiva, asegúrese de que la cuenta Invitado está deshabilitada. Además, asegúrese de establecer el permiso de acceso remoto para la cuenta de invitado para Denegar el acceso. Para ello, utilice uno de los métodos siguientes.

Método 1: para un controlador de dominio de Active Directory

  1. Haga clic en Inicio, elija
    Programas, herramientas Administrativasy, a continuación, haga clic en
    Equipos y usuarios de active Directory.
  2. En el árbol de consola, expanda
    SuDominioy, a continuación, haga clic en usuarios.
  3. Haga clic en invitadoy, a continuación, haga clic en
    Propiedades.
  4. En la ficha marcado , haga clic en Denegar el accesoy, a continuación, haga clic en Aceptar.
  5. Con el botón secundario
    Invitado, seleccione Todas las tareasy, a continuación, haga clic en
    Deshabilitar la cuenta.
  6. Cuando reciba el mensaje "Se ha deshabilitado el objeto Invitado", haga clic en Aceptar.
  7. Salga de equipos y usuarios de Active Directory.

Método 2: para un servidor independiente de Windows Server 2003

  1. Haga clic en administración de equipos.
  2. En el árbol de consola, haga clic en Herramientas del sistema, haga clic en usuarios locales y gruposy, a continuación, haga clic en
    Los usuarios.
  3. Haga clic en invitadoy, a continuación, haga clic en
    Propiedades.
  4. En la ficha marcado , haga clic en Denegar el accesoy, a continuación, haga clic en Aceptar.
  5. Haga clic en invitadoy, a continuación, haga clic en Propiedades.
  6. Haga clic para activar la casilla de verificación cuenta deshabilitada y, a continuación, haga clic en Aceptar.
  7. Cierre Administración de equipos.

Referencias


Para obtener más información acerca de las directivas de acceso remoto, haga clic en Inicio, haga clic en Ayuda y soporte técnico, escriba directivas de acceso remoto en el cuadro de búsqueda y, a continuación, presione ENTRAR para ver los temas disponibles.