Skapa och tillämpa en säkerhetsprincip för fjärråtkomst i Windows Server 2003

Gäller för: Microsoft Windows Server 2003

En version av den här artikeln för Microsoft Windows 2000 för att se 313082 .

Sammanfattning


I den här artikeln beskriver hur du kan tillämpa en säkerhetsprincip för fjärråtkomst i en Microsoft Windows Server 2003-baserad domän i enhetligt läge. Den här artikeln beskrivs också hur du kan tillämpa en säkerhetsprincip för fjärråtkomst på en fristående Windows Server 2003-baserade RAS-servern.

I en Windows Server 2003-baserad domän i enhetligt läge, kan du använda följande tre typer av fjärråtkomstprinciper:

  • Explicit tillåta
    Fjärråtkomstprincipen anges till ”ge behörighet för fjärråtkomst (RAS)” och anslutningsförsöket matchar villkoren för principen.
  • Explicit nekande
    Fjärråtkomstprincipen anges till ”neka behörighet för fjärråtkomst” och anslutningsförsöket matchar villkoren för principen.
  • Underförstått neka
    Anslutningsförsöket matchar inte något villkor för fjärråtkomstprinciper.
Konfigurera principen för att framtvinga en fjärråtkomstprincip. Konfigurera de fjärranslutne inställningarna om du vill ange att fjärråtkomstanslutningar behörigheter styrs av fjärråtkomstprincipen.

Konfigurera en fjärråtkomstprincip

Som standard finns två principer för fjärråtkomst i Windows Server 2003:
  • Anslutningar till Microsoft Routing and Remote Access-servern
    Den här principen matchar alla RAS-anslutning görs till tjänsten Routing and Remote Access.
  • Anslutningar till andra åtkomstservrar
    Den här principen matchar varje inkommande anslutning, oavsett network access server.
Windows Server 2003 används för anslutningar till andra åtkomstservrar endast när någon av följande förutsättningar föreligger:
  • Principen för anslutningar till en server med Microsoft Routning och fjärråtkomst är inte tillgänglig.
  • Ordningen på principerna som har ändrats.
Gör följande om du vill konfigurera en ny säkerhetsprincip för fjärråtkomst:
  1. Klicka på Start, peka på program, peka på
    Administrationsverktyg, och klicka sedan på Routning och fjärråtkomst.
  2. Expandera
    Servernamn, och klicka sedan på Fjärråtkomstprinciper.

    Obs! Om du inte har konfigurerat fjärråtkomst, klickar du på Konfigurera och aktivera Routning och fjärråtkomst (RAS)åtgärd-menyn och följ sedan stegen i Routning och fjärråtkomst guiden Konfigurera Server.
  3. Skapa en ny fjärråtkomstprincip.

    Följande exempel illustrerar hur du skapar en ny fjärråtkomstprincip som uttryckligen beviljar behörigheter för fjärråtkomst till en viss användare på vissa dagar. Den här principen blockerar implicit på andra dagar.
    1. Högerklicka på Fjärråtkomstprinciperoch klicka sedan på Ny fjärråtkomstprincip.
    2. I den nya principen guiden fjärråtkomst, klickar du på Nästa.
    3. I rutan namn skriver du:
      Testa principenoch klicka sedan på Nästa.
    4. På sidan Åtkomstmetod Klicka på Fjärranslutningoch klicka sedan på Nästa.
    5. På sidan användare eller grupp klickar du på användaren eller gruppenoch klicka sedan på Nästa.

      Obs! Om du vill konfigurera en fjärråtkomstprincip för en grupp klickar du på Lägg till, Skriv namnet på gruppen i rutan Ange objekt namn att markera och klicka sedan på OK.
    6. Kontrollera att bara kryssrutan Microsoft-krypterad autentisering version 2 (MS-CHAPv2) är markerad på sidan Autentiseringsmetoder och klicka sedan på Nästa.
    7. Klicka på Nästapå sidan Krypteringsnivå för principen .
    8. Klicka på Slutför.

      En ny princip med namnet Test principen visas i noden Fjärråtkomstprinciper .
    9. Högerklicka på Testet principi den högra rutan, och klicka sedan på Egenskaper.
    10. Se till att ge behörighet för fjärråtkomst (RAS) är markerat i dialogrutan Egenskaper för Test .
    11. Klicka på Redigera profil, markerar du kryssrutan Tillåt åtkomst på dessa dagar och tidpunkter och klicka sedan på
      Redigera.
    12. Klicka på nekad, måndag till fredag från 8:00 till 4:00,
      Tillåtna, och klicka sedan på OK.
    13. Klicka på OK för att stänga dialogrutan Redigera fjärråtkomstprofilen .
    14. Klicka på OK för att stänga dialogrutan Egenskaper för Test .

      Testa principen principer som är aktiva.
    15. Upprepa steg a-h om du vill skapa en annan fjärråtkomstprincip som heter Test Block princip.
    16. Högerklicka på Testet Block principi den högra rutan, och klicka sedan på Egenskaper.
    17. Klicka på Neka behörighet för fjärråtkomsti dialogrutan Egenskaper för Test Block .

      Test Block princip principer som är aktiva.
  4. Avsluta tjänsten Routning och fjärråtkomst.


Så här konfigurerar du kontot fjärråtkomst användarinställningen

Så här anger du att fjärråtkomstbehörigheter styrs av principer för fjärråtkomst:
  1. Klicka på Start, peka på
    Program, peka på Administrationsverktygoch sedan använda någon av följande metoder.

    Metod 1: för en Active Directory-domänkontrollant

    Om datorn är en domänkontrollant för Active Directory directory service, så här:
    1. Klicka på Active Directory-användare och datorer.
    2. I konsolträdet expanderar du
      Domänoch klicka sedan på användare.

    Metod 2: för en fristående server i Windows Server 2003

    Om datorn är en fristående server i Windows Server 2003, så här:
    1. Klicka på Datorhantering.
    2. Klicka på Systemverktygi konsolträdet, klicka på lokala användare och grupperoch klicka sedan på
      Användare.
  2. Högerklicka på användarkontot och klicka sedan på
    Egenskaper.
  3. På fliken uppringning , klicka på Kontrollera åtkomst genom fjärråtkomstprinciperoch klicka sedan på
    OK.

    Obs! Active Directory kan köras i blandat läge om Kontrollera åtkomst genom fjärråtkomstprinciperär tillgänglig.
    Mer information om fjärråtkomst alternativ som är tillgängliga när Active Directory är klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

    193897 dial in alternativ är tillgänglig för Active Directory i blandat läge

Felsökning

Kontrollera att gästkontot är inaktiverat om du inte använder grupper för att ange behörigheter för fjärråtkomst i din konfiguration. Kontrollera också att du anger behörigheten för fjärråtkomst för gästkontot till Neka åtkomst. Använd någon av följande metoder om du vill göra detta.

Metod 1: för en Active Directory-domänkontrollant

  1. Klicka på Start, peka på
    Program, peka på Administrationsverktygoch klicka sedan på
    Active Directory-användare och datorer.
  2. I konsolträdet expanderar du
    Domänoch klicka sedan på användare.
  3. Högerklicka på Gästoch sedan på
    Egenskaper.
  4. Klicka på Neka åtkomstpå fliken Fjärranslutning och klicka på OK.
  5. Högerklicka på
    Gäst, peka på Alla aktiviteteroch klicka sedan på
    Inaktivera kontot.
  6. Klicka på OKnär du får meddelandet ”objekt gäst har inaktiverats”.
  7. Avsluta Active Directory – användare och datorer.

Metod 2: för en fristående server i Windows Server 2003

  1. Klicka på Datorhantering.
  2. Klicka på Systemverktygi konsolträdet, klicka på lokala användare och grupperoch klicka sedan på
    Användare.
  3. Högerklicka på Gästoch sedan på
    Egenskaper.
  4. Klicka på Neka åtkomstpå fliken Fjärranslutning och klicka på OK.
  5. Högerklicka på Gäst.
  6. Markera kryssrutan kontot är inaktivt , och klicka sedan på OK.
  7. Avsluta Datorhantering.

Referenser


För mer information om principer för fjärråtkomst klickar du på Start, klickar du på Hjälp och Support, ange fjärråtkomstprinciper i sökrutan och tryck sedan på RETUR för att visa avsnitt.