在Windows 2003中實施遠程訪問安全策略

　　概要　　　　本文分步介紹了如何在基於 Windows Server 2003 的本機模式域中實施遠程訪問安全策略。　　　　在基於 Windows Server 2003 的本機模式域中，可以使用以下三個遠程訪問策略：　　　　注意：這一實施遠程訪問安全策略的方法同樣適用於獨立的基於 Windows Server 2003 的遠程訪問服務器。 ? 顯式允許：將遠程訪問策略設置為“授予遠程訪問權限”，且連接嘗試滿足策略條件。　　　　顯式拒絕：將遠程訪問策略設置為“拒絕遠程訪問權限”，且連接嘗試滿足策略條件。　　　　隱式拒絕：連接嘗試不滿足任何遠程訪問策略條件。　　　　要實施遠程訪問策略，請執行下列步驟：　　　　1. 配置遠程訪問策略條件。　　　　2. 配置用戶帳戶撥入設置。　　　　如何配置遠程訪問策略　　　　將默認 Windows Server 2003 遠程訪問策略設置為“如果啟用撥入許可，就允許訪問”。要實施您的遠程訪問安全策略，，請刪除默認策略，然後創建新的遠程訪問策略：　　　　1. 單擊“開始”，指向“管理工具”，然後單擊“路由和遠程訪問”。　　　　2. 展開“Server_Name”（在這裡，Server_Name 是服務器的名稱），然後單擊“遠程訪問策略”。　　　　注意：如果尚未配置遠程訪問，請單擊“操作”菜單上的“配置並啟用路由和遠程訪問”，然後按照“路由和遠程訪問服務器安裝向導”中的步驟進行操作。　　　　3. 在控制台窗格中，右鍵單擊“如果啟用撥入許可，就允許訪問”，然後單擊“刪除”。在出現“刪除策略”對話框時，請單擊“是”。　　　　4. 在“操作”菜單上，單擊“新建遠程訪問策略”。　　　　5. 創建一個新的遠程訪問策略。下面的示例闡釋了一個遠程訪問策略，該策略在某些天內顯式允許對一個組的遠程訪問，在其他時間隱式阻止對同一組的訪問，並顯式阻止對另一個組的遠程訪問。　　　　示例：　　　　a.　在“策略友好名稱”框中，鍵入 test policy，然後單擊“下一步”。　　　　b.　單擊“添加”，再單擊“Windows 組”，然後單擊“添加”兩次。　　　　c.　在“請輸入要選擇的對象名稱”框中，鍵入 Domain Users，單擊“添加”，再單擊“確定”兩次，然後單擊“下一步”。　　　　注意：Domain Users 組僅用於示例目的。Microsoft 建議您創建一個特定的組以用於控制遠程訪問權限。　　　　d.　單擊“授予遠程訪問權限”，然後單擊“下一步”。　　　　e.　單擊“編輯配置文件”，單擊以選中“僅允許這些日期和時間”復選框，然後單擊“編輯”。　　　　f.　單擊“拒絕”，單擊“周一到周五上午 8:00 到下午 4:00”，再單擊“允許”，然後單擊“確定”。　　　　g.　單擊“確定”兩次，然後單擊“完成”。　　　　這樣，從周一到周五的上午 8:00 到下午 4:00，可顯式允許 Domain Users 組成員的遠程訪問權限，而在其他日期和時間將隱式拒絕這些成員進行遠程訪問。　　　　h.　在“操作”菜單上，單擊“新建遠程訪問策略”。　　　　i.　在“策略友好名稱”框中，鍵入 test block policy，然後單擊“下一步”。　　　　j.　單擊“添加”，再單擊“Windows 組”，然後單擊“添加”兩次。　　　　k.　在“請輸入要選擇的對象名稱”框中，鍵入 Domain Users，單擊“添加”，再單擊“確定”兩次，然後單擊“下一步”。　　　　l.　單擊以選中“拒絕遠程訪問權限”復選框（如果尚未選中），再單擊“下一步”，然後單擊“完成”。　　　　將顯式拒絕 Domain Admins 組成員進行遠程訪問。　　　　6. 創建完遠程訪問策略後，請退出“路由和遠程訪問”管理單元。　　　　如何配置用戶帳戶撥入設置　　　　指定遠程訪問權限由遠程訪問策略控制：　　　　1. 單擊“開始”，指向“管理工具”，然後執行下列操作之一：　　　　如果計算機是 Active Directory 目錄服務域控制器：　　　　a.　單擊“Active Directory 用戶和計算機”。　　　　b.　在控制台樹中，展開“Your_domain”（在這裡，Your_domain 是您的域名稱），然後單擊“用戶”。　　　　如果計算機是獨立的 Windows Server 2003 服務器：　　　　a.　單擊“計算機管理”。　　　　b.　在控制台樹中，單擊“系統工具”，再單擊“本地用戶和組”，然後單擊“用戶”。　　　　2. 右鍵單擊所需的用戶帳戶，然後單擊“屬性”。　　　　3. 在“撥入”選項卡上，單擊“通過遠程訪問策略控制訪問”，然後單擊“確定”。　　　　注意：如果“通過遠程訪問策略控制訪問”不可用（變暗），則 Active Directory 可能是在混合模式下運行的。 有關 Active Directory 在混合模式下運行時撥入選項不可用的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：　　　　193897 () 在混合模式下，無法使用 Active Directory 的撥號選項　　　　疑難解答　　　　如果您沒有使用組在策略配置中指定遠程訪問權限，請確保禁用了來賓帳戶，並將其遠程訪問權限設置為“拒絕訪問”：　　　　1. 單擊“開始”，指向“管理工具”，然後執行下列操作之一：　　　　如果計算機是 Active Directory 域控制器：　　　　a.　單擊“Active Directory 用戶和計算機”。　　　　b.　在控制台樹中，展開“Your_domain”（在這裡，Your_domain 是您的域名稱），然後單擊“用戶”。　　　　如果計算機是獨立的 Windows Server 2003 服務器：　　　　a.　單擊“計算機管理”。　　　　b.　在控制台樹中，單擊“系統工具”，再單擊“本地用戶和組”，然後單擊“用戶”。　　　　2. 右鍵單擊來賓用戶帳戶，然後單擊“屬性”。 　　　　3. 在“撥入”選項卡上，單擊“拒絕訪問”，然後單擊“確定”。 ? 在域控制器中右鍵單擊“來賓”，指向“所有任務”，然後單擊“禁用帳戶”。收到“對象來賓已被禁用”消息時，單擊“確定”。　　　　在獨立的 Windows Server 2003 服務器中，右鍵單擊“來賓”，然後單擊“屬性”。單擊以選中“帳戶已禁用”復選框，然後單擊“確定”。　　　　退出“計算機管理”或“Active Directory 用戶和計算機”。