如何在 Windows Server 2003 中创建和实施远程访问安全策略

适用于: Microsoft Windows Server 2003

有关本文的 Microsoft Windows 2000 版本,请参阅 313082

摘要


本文分步介绍了如何在基于 Microsoft Windows Server 2003 的本机模式域中实施远程访问安全策略。 本文还介绍了如何在基于 Windows Server 2003 的独立的远程访问服务器上实施远程访问安全策略。

在基于 Windows Server 2003 的本机模式域中,可以使用以下三种类型的远程访问策略:

  • 显式允许

    远程访问策略被设置为“授予远程访问权限”,且连接尝试满足策略条件。
  • 显式拒绝
    远程访问策略被设置为“拒绝远程访问权限”,且连接尝试满足策略条件。
  • 隐式拒绝
    连接尝试不满足任何远程访问策略条件。
要实施远程访问策略,请对该策略进行配置。 然后,配置用户帐户拨入设置,以指定远程访问权限由远程访问策略控制。

如何配置远程访问策略

默认情况下,在 Windows Server 2003 中提供两种远程访问策略:
  • 到 Microsoft 路由选择和远程访问服务器的连接
    此策略适合到路由和远程访问服务的所有远程访问连接。
  • 到其它访问服务器的连接
    此策略适合所有传入连接,而不考虑网络访问服务器的类型。
仅在满足以下条件之一时,Windows Server 2003 才会使用到其他访问服务器的连接策略:
  • 到 Microsoft 路由和远程访问服务器的连接策略不可用。
  • 策略的顺序被更改。
要配置新的远程访问安全策略,请按照下列步骤操作:
  1. 单击开始,指向程序,然后指向
    管理工具,然后单击路由和远程访问
  2. 展开
    Server_Name,然后单击远程访问策略

    注意:如果尚未配置远程访问,请单击“操作”菜单上的 “配置并启用路由和远程访问”,然后按照“路由和远程访问服务器安装向导”中的步骤进行操作。
  3. 创建一个新的远程访问策略。

    下面的示例步骤演示了如何创建新的远程访问策略,该策略可在特定日期内向特定用户显式授予远程访问权限。 此策略会在其他日期隐式阻止访问。
    1. 右键单击“远程访问策略”,然后单击“新建远程访问策略”
    2. 在“新建远程访问策略向导”中,单击“下一步”
    3. “策略名称”框中,键入
      选择测试策略,然后单击下一步
    4. “访问方法”页面上,单击“拨号”,然后单击“下一步”
    5. “用户或组访问”页上,单击“用户”“组”,然后单击“下一步”

      注意:如果希望为某个组配置远程访问策略,请单击“添加”,在“输入要选择的对象名称”框中键入该组的名称,然后单击“确定”
    6. “身份验证方法”页上,确保只选中了“Microsoft 加密身份验证版本 2 (MS-CHAPv2)”复选框,然后单击“下一步”
    7. “策略加密级别”页上,单击“下一步”
    8. 单击“完成”

      “远程访问策略”节点中将显示一个名为“测试策略”的新策略。
    9. 在右窗格中,右键单击“测试策略”,然后单击“属性”
    10. “测试策略属性”对话框中,确保选中了“授予远程访问权限”
    11. 单击“编辑配置文件”,单击以选中“仅允许在这些日期和时间访问”复选框,然后单击
      “编辑”。
    12. 单击“拒绝”,单击星期一至星期五上午 8:00 到下午 4:00,单击
      “允许”,然后单击“确定”
    13. 单击“确定”,关闭“编辑拨入配置文件”对话框。
    14. 单击“确定”,关闭“测试策略属性”对话框。

      “测试策略”策略将发挥作用。
    15. 重复步骤 a 到 h 以创建另一个名为“测试阻止策略”的远程访问策略。
    16. 在右窗格中,右键单击“测试阻止策略”,然后单击“属性”
    17. “测试阻止策略属性”对话框中,单击“拒绝远程访问权限”

      “测试阻止策略”策略将发挥作用。
  4. 退出“路由和远程访问”。


如何配置用户帐户拨入设置

要指定远程访问权限由远程访问策略控制,请按照下列步骤操作:
  1. 单击开始,指向
    “程序”,指向“管理工具”,然后使用以下方法中的一种。

    方法 1: 对于 Active Directory 域控制器

    如果计算机是 Active Directory 目录服务域控制器,请按照下列步骤操作:
    1. 单击“Active Directory 用户和计算机”
    2. 在控制台树中,展开
      展开“Your_domain”,然后单击“用户”

    方法 2: 对于独立的 Windows Server 2003 服务器

    如果计算机是独立的 Windows Server 2003 服务器,请按照下列步骤操作:
    1. 单击“计算机管理”
    2. 在控制台树中,单击“系统工具”,单击“本地用户和组”,然后单击
      用户
  2. 右键单击用户帐户,然后单击
    “属性”。
  3. “拨入”选项卡上,单击“通过远程访问策略控制访问”,然后单击
    “确定”

    注意:如果“通过远程访问策略控制访问”不可用,则 Active Directory 可能是在混合模式下运行的。
    有关 Active Directory 在混合模式下运行时不可用的拨入选项的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    193897 在混合模式下,无法使用 Active Directory 的拨入选项

疑难解答

如果在策略配置中没有使用组来指定远程访问权限,请确保禁用了来宾帐户。 同时,还应确保将来宾帐户的远程访问权限设置为“拒绝访问”。 为此,请使用以下方法之一。

方法 1: 对于 Active Directory 域控制器

  1. 单击开始,指向
    程序,指向系统工具,然后单击
    Active Directory 用户和计算机
  2. 在控制台树中,展开
    “Your_Domain”,然后单击“用户”
  3. 右键单击“来宾”,然后单击
    “属性”。
  4. “拨入”选项卡上,单击“拒绝访问”,然后单击“确定”
  5. 右键单击
    “来宾”,指向“所有程序”,然后单击
    禁用帐户
  6. 当您收到“来宾对象已被禁用”消息时,请单击“确定”
  7. 退出“Active Directory 用户和计算机”。

方法 2: 对于独立的 Windows Server 2003 服务器

  1. 单击“计算机管理”
  2. 在控制台树中,单击“系统工具”,单击“本地用户和组”,然后单击
    用户
  3. 右键单击“来宾”,然后单击
    “属性”。
  4. “拨入”选项卡上,单击“拒绝访问”,然后单击“确定”
  5. 右键单击“来宾”,然后单击“属性”
  6. 单击以选中“帐户已禁用”复选框,然后单击“确定”
  7. 退出“计算机管理”。

参考


有关远程访问策略的更多信息,请依次单击“开始”“帮助和支持”,在“搜索”框中键入“远程访问策略” ,然后按 Enter 键以查看可用主题。