Como criar e aplicar uma política de segurança de acesso remoto no Windows Server 2003

Aplica-se a: Microsoft Windows Server 2003

Para obter uma versão do Microsoft Windows 2000 deste artigo, consulte 313082 .

Sumário


Este artigo passo a passo descreve como impor uma política de segurança de acesso remoto num domínio baseado no Microsoft Windows Server 2003 em modo nativo. Este artigo também descreve como impor uma política de segurança de acesso remoto num servidor baseado no Windows Server 2003 acesso remoto autónomo.

Num domínio em modo nativo baseado no Windows Server 2003, pode utilizar os seguintes três tipos de políticas de acesso remoto:

  • Permissão explícita
    A política de acesso remoto é definida como "Conceder permissão de acesso remoto" e a tentativa de ligação corresponde as condições da política.
  • Negação explícita
    A política de acesso remoto é definida como "Negar permissão de acesso remoto" e a tentativa de ligação corresponde as condições da política.
  • Negação implícita
    A tentativa de ligação não coincide com as condições de política de acesso remoto.
Para impor uma política de acesso remoto, configure a política. Em seguida, configure as conta dial-in Definições de utilizador para especificar as permissões são controladas pela política de acesso remoto de acesso remoto.

Como configurar uma política de acesso remoto

Por predefinição, as duas políticas de acesso remoto estão disponíveis no Windows Server 2003:
  • Ligações ao servidor Microsoft Routing e acesso remoto
    Esta política corresponde a todas as ligações de acesso remoto que é feita ao serviço de encaminhamento e acesso remoto.
  • Ligações a outros servidores de acesso
    Esta política corresponde a cada ligação a receber, independentemente do tipo de servidor de acesso de rede.
Windows Server 2003 utiliza a política de ligações a outros servidores de acesso apenas quando uma das seguintes condições for verdadeira:
  • A política de ligações ao servidor de encaminhamento e acesso remoto Microsoft não está disponível.
  • A ordem das políticas foi alterada.
Para configurar uma nova política de segurança de acesso remoto, siga estes passos:
  1. Clique em Iniciar, aponte para programas, aponte para
    Ferramentas administrativase, em seguida, clique em Encaminhamento e acesso remoto.
  2. Expandir
    Nome_servidore, em seguida, clique em Políticas de acesso remoto.

    Nota Se não tiver configurado o acesso remoto, clique em configurar e activar encaminhamento e acesso remoto , no menu acçãoe, em seguida, siga os passos no Assistente de configuração de servidor de acesso remoto de encaminhamento e.
  3. Crie uma nova política de acesso remoto.

    Os seguintes passos de exemplo ilustram como criar uma nova política de acesso remoto que concede explicitamente permissões de acesso remoto a um utilizador específico em determinados dias. Esta política bloqueia implicitamente acesso noutros dias.
    1. Políticas de acesso remotocom o botão direito e, em seguida, clique em Nova política de acesso remoto.
    2. No remoto acesso Assistente de nova política, clique em seguinte.
    3. Na caixa nome da política , escreva
      Política de ensaioe, em seguida, clique em seguinte.
    4. Na página Método de acesso , clique em Dial-upe, em seguida, clique em seguinte.
    5. Na página de acesso utilizador ou grupo , clique em utilizador ou grupoe, em seguida, clique em seguinte.

      Nota Se pretender configurar a política de acesso remoto para um grupo, clique em Adicionar, escreva o nome do grupo na caixa Introduza objecto nomes para seleccionar e, em seguida, clique em OK.
    6. Na página Métodos de autenticação , certifique-se de que apenas a caixa de verificação de Autenticação encriptada da Microsoft versão 2 (MS-CHAPv2) está seleccionada e, em seguida, clique em seguinte.
    7. Na página de Nível de encriptação de política , clique em seguinte.
    8. Clique em Concluir.

      Aparece uma nova política denominada Política de ensaio no nó de Políticas de acesso remoto .
    9. No painel da direita, Política de ensaiocom o botão direito e, em seguida, clique em Propriedades.
    10. Na caixa de diálogo Propriedades de política de teste , certifique-se de que a conceder permissão de acesso remoto está seleccionada.
    11. Clique em Editar perfil, clique para seleccionar a caixa de verificação Permitir o acesso apenas nestes dias e nestas horas e, em seguida, clique em
      Editar.
    12. Clique em negado, clique em Segunda-feira a sexta-feira das 8:00 às 4:00 PM, clique em
      Permitidoe, em seguida, clique em OK.
    13. Clique em OK para fechar a caixa de diálogo Editar perfil de acesso telefónico .
    14. Clique em OK para fechar a caixa de diálogo Propriedades de política de ensaio .

      A política de teste está em vigor.
    15. Repita os passos a até h para criar outra política de acesso remoto denominada Política de bloco de ensaio.
    16. No painel da direita, Política de bloco de ensaiocom o botão direito e, em seguida, clique em Propriedades.
    17. Na caixa de diálogo Propriedades de política do bloco de ensaio , clique em Negar permissão de acesso remoto.

      A política de política de bloco de ensaio está em vigor.
  4. Saia do encaminhamento e acesso remoto.


Como configurar a definição conta do utilizador acesso telefónico

Para especificar que as permissões de acesso remoto são controladas pela política de acesso remoto, siga estes passos:
  1. Clique em Iniciar, aponte para
    Programas, aponte para Ferramentas administrativase, em seguida, utilize um dos seguintes métodos.

    Método 1: para um controlador de domínio do Active Directory

    Se o computador for um controlador de domínio do serviço de directório do Active Directory, siga estes passos:
    1. Clique em computadores e utilizadores do Active Directory.
    2. Na árvore da consola, expanda
      O_seu_domínioe, em seguida, clique em utilizadores.

    Método 2: para um servidor autónomo do Windows Server 2003

    Se o computador for um servidor autónomo do Windows Server 2003, siga estes passos:
    1. Clique em Gestão de computadores.
    2. Na árvore da consola, clique em Ferramentas do sistema, clique em utilizadores e grupos locaise, em seguida, clique em
      Os utilizadores.
  2. Botão direito do rato na conta de utilizador e, em seguida, clique em
    Propriedades.
  3. No separador acesso telefónico , clique em Controlar acesso através de política de acesso remotoe, em seguida, clique em
    OK.

    Nota Se Controlar acesso através de política de acesso remotonão estiver disponível, o Active Directory pode ser executado no modo misto.
    Para mais informações sobre opções de acesso telefónico que não estão disponíveis quando o Active Directory está, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

    193897 acesso telefónico opções disponíveis com o Active Directory no modo misto

Resolução de problemas

Se não utilizar grupos para especificar permissões de acesso remoto na configuração de política, certifique-se de que a conta de convidado está desactivada. Além disso, certifique-se de que definiu a permissão de acesso remoto para a conta de convidado para Negar o acesso. Para tal, utilize um dos seguintes métodos.

Método 1: para um controlador de domínio do Active Directory

  1. Clique em Iniciar, aponte para
    Programas, aponte para Ferramentas administrativase, em seguida, clique em
    Computadores e utilizadores do active Directory.
  2. Na árvore da consola, expanda
    O_seu_domínioe, em seguida, clique em utilizadores.
  3. Convidadocom o botão direito e, em seguida, clique em
    Propriedades.
  4. No separador acesso telefónico , clique em Negar o acessoe, em seguida, clique em OK.
  5. Com o botão direito
    Convidado, aponte para All Taskse, em seguida, clique em
    Desactivar a conta.
  6. Quando receber a mensagem "O objecto convidado foi desactivado", clique em OK.
  7. Saia de computadores e utilizadores do Active Directory.

Método 2: para um servidor autónomo do Windows Server 2003

  1. Clique em Gestão de computadores.
  2. Na árvore da consola, clique em Ferramentas do sistema, clique em utilizadores e grupos locaise, em seguida, clique em
    Os utilizadores.
  3. Convidadocom o botão direito e, em seguida, clique em
    Propriedades.
  4. No separador acesso telefónico , clique em Negar o acessoe, em seguida, clique em OK.
  5. Com o botão direito Convidadoe, em seguida, clique em Propriedades.
  6. Clique para seleccionar a caixa de verificação conta está desactivada e, em seguida, clique em OK.
  7. Saia de gestão de computadores.

Referências


Para mais informações sobre políticas de acesso remoto, clique em Iniciar, clique em Ajuda e suporte, escreva políticas de acesso remoto na caixa de pesquisa e, em seguida, prima ENTER para visualizar os tópicos disponíveis.