Het maken en het afdwingen van een RAS-beveiligingsbeleid in Windows Server 2003

Van toepassing: Microsoft Windows Server 2003

Zie 313082 voor een Microsoft Windows 2000-versie van dit artikel.

Samenvatting


In dit stapsgewijze artikel wordt beschreven hoe een RAS-beveiligingsbeleid voor afdwingen in een op basis van Microsoft Windows Server 2003-domein in native-modus. Ook wordt beschreven hoe u een RAS-beveiligingsbeleid op een zelfstandige Windows Server 2003 gebaseerde RAS-server afdwingen.

In een op basis van Windows Server 2003-domein in native modus, kunt u de volgende drie typen RAS-beleid:

  • Expliciet toestaan
    Het RAS-beleid is ingesteld op "RAS-machtiging verlenen" en de verbindingspoging voldoet aan de beleidsvoorwaarden.
  • Expliciet weigeren
    Het RAS-beleid is ingesteld op "Geen RAS-machtiging" en de verbindingspoging voldoet aan de beleidsvoorwaarden.
  • Impliciet weigeren
    De verbindingspoging niet overeenkomt met een RAS-beleidsvoorwaarden.
Als u een RAS-beleid, het beleid te configureren. Vervolgens de account inbellen gebruikersinstellingen configureren om RAS-machtigingen bestuurd worden door het RAS-beleid opgeven.

Een RAS-beleid configureren

Twee RAS-beleidsregels zijn standaard beschikbaar in Windows Server 2003:
  • Verbindingen met Microsoft Routing and Remote Access-server
    Dit beleid komt overeen met elk RAS-verbinding die is gemaakt voor de Routing and Remote Access-service.
  • Verbindingen met andere toegangsservers
    Dit beleid komt overeen met elke inkomende verbinding, ongeacht het type network access server.
Windows Server 2003 het beleid verbindingen met andere toegangsservers wordt alleen gebruikt als een van de volgende voorwaarden voldaan wordt:
  • Het beleid voor verbindingen met Microsoft Routing and Remote Access-server is niet beschikbaar.
  • De volgorde van het beleid is gewijzigd.
Een nieuw RAS-beveiligingsbeleid configureren, als volgt te werk:
  1. Klik op Start, wijs achtereenvolgens programma's, wijs
    Systeembeheeren klik vervolgens op Routering en RAS.
  2. Vouw
    Servernaam, en klik vervolgens op RAS-beleid.

    Opmerking Als u RAS nog niet hebt geconfigureerd, klikt u op configureren en inschakelen van Routering en RAS in het menu actieen volg de stappen in de Routing and Remote Access Server Setup Wizard.
  3. Maak een nieuw RAS-beleid.

    Het volgende voorbeeld wordt het maken van een nieuw RAS-beleid dat expliciet machtigingen voor externe toegang aan een specifieke gebruiker op bepaalde dagen verleent illustreren. Dit beleid toegang wordt op andere dagen impliciet wordt geblokkeerd.
    1. Klik met de rechtermuisknop op RAS-beleiden klik vervolgens op Nieuw RAS-beleid.
    2. In de nieuwe Wizard RAS-beleid, klik op volgende.
    3. Typ in het vak Beleidsnaam
      Test-beleiden klik op volgende.
    4. Klik op Inbellenop de pagina Toegangsmethode en klik op volgende.
    5. Op de pagina van de gebruiker of groepstoegang , klikt u op gebruiker of groepen klik op volgende.

      Opmerking Als u wilt dat het RAS-beleid configureren voor een groep, klikt u op toevoegen, typ de naam van de groep in het vak Geef Object namen te selecteren en klik vervolgens op OK.
    6. Zorg ervoor dat alleen het selectievakje Microsoft Encrypted Authentication versie 2 (MS-CHAPv2) is geselecteerd op de pagina Verificatiemethoden en klik op volgende.
    7. Klik op volgendeop de pagina Beleidscoderingsniveau .
    8. Klik op Voltooien.

      Een nieuw beleid met de naam Test beleid wordt weergegeven in het knooppunt RAS-beleid .
    9. In het rechterdeelvenster met de rechtermuisknop op het Beleid van de Testen klik vervolgens op Eigenschappen.
    10. Zorg ervoor dat de RAS-machtiging verlenen is geselecteerd in het dialoogvenster Eigenschappen van Test .
    11. Klik op Profiel bewerken, schakel het selectievakje Inbellen beperken tot deze dagen en tijden in en klik vervolgens op
      Bewerken.
    12. Klik geweigerd, klikt u op maandag t / m vrijdag van 8:00 tot 4:00 uur,
      Toegestaan, en klik vervolgens op OK.
    13. Klik op OK om het dialoogvenster Inbelprofiel bewerken te sluiten.
    14. Klik op OK om af te sluiten in het dialoogvenster Eigenschappen van Test .

      Het beleid van de Test-beleid is van kracht.
    15. Herhaal stap een tot en met h als u wilt een ander RAS-beleid met de naam Test blokbeleidmaken.
    16. Test Block beleidmet de rechtermuisknop in het rechterdeelvenster en klik vervolgens op Eigenschappen.
    17. Klik in het dialoogvenster Eigenschappen van blok Test op geen RAS-machtiging.

      Test Block beleid beleid is van kracht.
  4. Routing and Remote Access wordt afgesloten.


De gebruiker account inbellen instelling configureren

Als u wilt dat RAS-machtigingen bestuurd worden door het RAS-beleid, als volgt te werk:
  1. Klik op Start, wijs
    Programma's, Systeembeheeren vervolgens een van de volgende methoden gebruiken.

    Methode 1: voor een Active Directory-domeincontroller

    Als de computer een domeincontroller van Active Directory, als volgt te werk:
    1. Klik op Active Directory: gebruikers en Computers.
    2. Vouw in de consolestructuur
      Uw_domein, en klik vervolgens op gebruikers.

    Methode 2: bij een zelfstandige Windows Server 2003-server

    Als de computer een zelfstandige Windows Server 2003-server, gaat u als volgt te werk:
    1. Klik op Computerbeheer.
    2. Klik in de consolestructuur, klik op Systeemwerkset, klik op lokale gebruikers en groepenen klik op
      Gebruikers.
  2. Klik met de rechtermuisknop op de gebruikersaccount en klik vervolgens op
    Eigenschappen.
  3. Op het tabblad Inbellen op toegang beheren via RAS-beleiden klik vervolgens op
    OK.

    Opmerking Als u de toegang beheren via RAS-beleidniet beschikbaar is, kan Active Directory worden uitgevoerd in de gemengde modus.
    Voor meer informatie over externe in opties die niet beschikbaar zijn wanneer Active Directory is, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:

    193897 dial-in de opties zijn niet beschikbaar met Active Directory in de gemengde modus

Problemen oplossen

Als u geen van groepen gebruikmaakt om machtigingen voor externe toegang opgeven in de beleidsconfiguratie, zorg ervoor dat is de account Gast uitgeschakeld. Zorg ervoor dat u de RAS-machtiging voor de account Gast ingesteld op toegang weigeren. U doet dit door een van de volgende methoden te gebruiken.

Methode 1: voor een Active Directory-domeincontroller

  1. Klik op Start, wijs
    Programma's, Systeembeheeren klik vervolgens op
    Active Directory: gebruikers en Computers.
  2. Vouw in de consolestructuur
    Uw_domein, en klik vervolgens op gebruikers.
  3. Klik met de rechtermuisknop op Gasten klik vervolgens op
    Eigenschappen.
  4. Klik op het tabblad Inbellen op toegang weigerenen klik vervolgens op OK.
  5. Klik met de rechtermuisknop
    Gast, wijs Alle takenen klik vervolgens op
    Account uitschakelen.
  6. Wanneer u het bericht 'Object Gast is uitgeschakeld', klik op OK.
  7. Sluit Active Directory: gebruikers en Computers.

Methode 2: bij een zelfstandige Windows Server 2003-server

  1. Klik op Computerbeheer.
  2. Klik in de consolestructuur, klik op Systeemwerkset, klik op lokale gebruikers en groepenen klik op
    Gebruikers.
  3. Klik met de rechtermuisknop op Gasten klik vervolgens op
    Eigenschappen.
  4. Klik op het tabblad Inbellen op toegang weigerenen klik vervolgens op OK.
  5. Klik met de rechtermuisknop op Gasten klik vervolgens op Eigenschappen.
  6. Schakel het selectievakje Account is uitgeschakeld en klik vervolgens op OK.
  7. Sluit Computerbeheer af.

Referenties


Voor meer informatie over het RAS-beleid, klik op Start, klikt u op Help en ondersteuning RAS-beleid in het vak Zoeken typt en druk op ENTER om de beschikbare onderwerpen weer te geven.