Как создавать и применять политики безопасности удаленного доступа в Windows Server 2003

Эта статья содержит пошаговые инструкции для принудительного выполнения политики безопасности удаленного доступа в домене, работающем в основном режиме под управлением Microsoft Windows Server 2003. В этой статье также описывается политику безопасности удаленного доступа на сервере изолированного удаленного доступа, работающего под управлением Windows Server 2003.

В основном режиме домена под управлением Windows Server 2003 можно использовать следующие три типа политик удаленного доступа:

• 
  Явное разрешение
  Политика удаленного доступа имеет значение «Предоставить право удаленного доступа» и попытка подключения соответствует условиям политики.
• Явный запрет
  Политики удаленного доступа установлено значение «Отказать в праве удаленного доступа», и попытка подключения соответствует условиям политики.
• Неявный запрет
  Попытка подключения не соответствует все условия политики удаленного доступа.

Чтобы включить политику удаленного доступа, настройте политику. Настройте параметры учетных записей входящих подключений для указания разрешений управляются с помощью политики удаленного доступа, удаленного доступа.

Настройка политики удаленного доступа

По умолчанию в Windows Server 2003 доступны две политики удаленного доступа:

• Подключения к серверу маршрутизации и удаленного доступа
  Эта политика соответствует все подключения удаленного доступа к службе маршрутизации и удаленного доступа.
• Подключения к другим серверам доступа
  Эта политика соответствует каждого входящего подключения, независимо от типа сервера доступа к сети.

Windows Server 2003 использует политику подключения к другим серверам доступа только при выполнении одного из следующих условий:

• Политика подключений к серверу маршрутизации и удаленного доступа недоступна.
• Был изменен порядок политик.

Чтобы настроить политику безопасности удаленного доступа, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт программы, выберите пункт
   Администрированиеи выберите службы маршрутизации и удаленного доступа.
2. Разверните узел
   Имя_сервераи выберите пункт Политики удаленного доступа.
   
   Примечание. Если удаленного доступа не настроена, в меню Действиевыберите настроить и включить маршрутизацию и удаленный доступ и следуйте указаниям мастера настройки сервера удаленного доступа и маршрутизации.
3. Создайте новую политику удаленного доступа.
   
   Ниже примере показано, как создать политику удаленного доступа, явно предоставлены разрешения удаленного доступа для определенного пользователя в определенные дни. Эта политика явно блокирует доступ в другие дни.
   
   1. Щелкните правой кнопкой мыши Политику удаленного доступаи выберите команду Создать политику удаленного доступа.
   2. В новые мастера политики удаленного доступа нажмите кнопку Далее.
   3. Введите в поле Имя политики
      Политика тестированияи нажмите кнопку Далее.
   4. На странице Метод доступа щелкните удаленный доступи нажмите кнопку Далее.
   5. На странице пользователю или группе доступ выберите пользователя или группуи нажмите кнопку Далее.
      
      Примечание. Если необходимо настроить политику удаленного доступа для группы, нажмите кнопку Добавить, введите имя группы в поле Введите объект имена для выбора и нажмите кнопку ОК.
   6. На странице Методы проверки подлинности убедитесь, что установлен только флажок Шифрованная проверка подлинности Microsoft версии 2 (MS-CHAPv2) и нажмите кнопку Далее.
   7. На странице Уровень шифрования политики нажмите кнопку Далее.
   8. Нажмите кнопку Готово.
      
      Новая политика с именем Политики теста отображается в узле Политики удаленного доступа .
   9. В правой области щелкните правой кнопкой мыши Политику тестаи выберите команду Свойства.
   10. В диалоговом окне Свойства политики теста убедитесь, что выбран параметр предоставить право удаленного доступа .
   11. Нажмите кнопку Изменить профиль, установите флажок Разрешить доступ только в эти дни и в определенное время и нажмите кнопку
       Изменение.
   12. Нажмите кнопку Запретить, нажмите кнопку с понедельника по пятницу с 8:00 до 4:00,
       Разрешитьи нажмите кнопку ОК.
   13. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Изменение профиля коммутируемых подключений .
   14. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойств политики теста .
       
       Действует политика тестирования.
   15. Повторите шаги с по h для создания другой политики удаленного доступа с именем Политику блокирования теста.
   16. В правой области щелкните правой кнопкой мыши Политику блокирования тестаи выберите команду Свойства.
   17. В диалоговом окне Свойства политики блока тестирования нажмите кнопку Отказать в праве удаленного доступа.
       
       Действует политика тестирования блока.
4. Завершите работу службы маршрутизации и удаленного доступа.

Как настроить параметр звонков в учетной записи пользователя

Чтобы указать управляет разрешениями на удаленный доступ в политике удаленного доступа, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт
   Программы, Администрированиеи затем воспользуйтесь одним из следующих способов.

   Метод 1: для контроллеров домена Active Directory

   Если компьютер к контроллеру домена службы каталогов Active Directory, выполните следующие действия.
   
   1. Выберите Active Directory — пользователи и компьютеры.
   2. В дереве консоли разверните узел
      Your_domainи нажмите кнопку Пользователи.

   Метод 2: для изолированного сервера Windows Server 2003

   Если компьютер является изолированным сервером Windows Server 2003, выполните следующие действия:
   
   1. Нажмите кнопку «Управление компьютером».
   2. В дереве консоли щелкните Служебные, щелкните Локальные пользователи и группыи нажмите кнопку
      Пользователи.
2. Щелкните правой кнопкой мыши учетную запись пользователя и нажмите кнопку
   Свойства.
3. На вкладке Удаленный выберите Управление доступом с помощью политики удаленного доступаи нажмите кнопку
   ОК.
   
   Примечание. Если Управление доступом с помощью политики удаленного доступанедоступна, Active Directory может выполняться в смешанном режиме.
   Дополнительные сведения о параметрах коммутируемых подключений, которые недоступны при Active Directory щелкните следующий номер статьи базы знаний Майкрософт:
   
   
   193897 -in параметры недоступны в службе каталогов Active Directory в смешанном режиме
   
   

Устранение неполадок

Если вы не используете группы для задания разрешения на удаленный доступ в конфигурации политики, убедитесь, что учетная запись гостя отключена. Кроме того убедитесь, что установить разрешение на удаленный доступ для учетной записи гостя Запретитьдоступ. Для этого воспользуйтесь одним из следующих способов.

Метод 1: для контроллеров домена Active Directory

1. Нажмите кнопку Пуск, выберите пункт
   Программы, выделите пункт Администрированиеи нажмите кнопку
   Active Directory — пользователи и компьютеры.
2. В дереве консоли разверните узел
   Your_domainи нажмите кнопку Пользователи.
3. Щелкните правой кнопкой мыши Гостьи нажмите кнопку
   Свойства.
4. На вкладке Удаленный нажмите кнопку Запретить доступи нажмите кнопку ОК.
5. Щелкните правой кнопкой мыши
   Гость, выделите пункт Все задачии нажмите кнопку
   Отключить учетную запись.
6. При появлении сообщения «Гость объектов отключено», нажмите кнопку ОК.
7. Закройте Active Directory-пользователи и компьютеры.

Метод 2: для изолированного сервера Windows Server 2003

1. Нажмите кнопку «Управление компьютером».
2. В дереве консоли щелкните Служебные, щелкните Локальные пользователи и группыи нажмите кнопку
   Пользователи.
3. Щелкните правой кнопкой мыши Гостьи нажмите кнопку
   Свойства.
4. На вкладке Удаленный нажмите кнопку Запретить доступи нажмите кнопку ОК.
5. Щелкните правой кнопкой мыши Гостьи нажмите кнопку Свойства.
6. Установите флажок Отключить учетную запись и нажмите кнопку ОК.
7. Закройте Управление компьютером.