Настройка прав пользователей для подключения к серверу удаленного доступа
При отсутствии сервера RADIUS (см. ниже) разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией Свойствпользователя и Политик удаленного доступа, настраиваемых индивидуально для каждого сервера удаленного доступа.
Если домен Active Directory работает в смешанном режиме, то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке "Входящие звонки " ( Dial-In ). При этом есть только два варианта — разрешить или запретить (рис. 10.22). по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера ( Call-back ). Здесь имеются три варианта:
- " Ответный вызов не выполняется " — при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом клиента, если доступ разрешен, то устанавливается сетевое соединение и пользователь получает возможность работать в сети;
- " Устанавливается вызывающим " — в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей — пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
- " Всегда по этому номеру " (с указанием номера телефона) — данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям — здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита — злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).
Рис. 10.22.
Если домен работает в основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через Политики удаленного доступа (о Политиках будет рассказано ниже; рис. 10.23). Заметим, что явное разрешения или явный запрет имеют более высокий приоритет, чем Политики удаленного доступа.
В основном режиме в Свойствах пользователя становятся доступны дополнительные параметры:
- " Проверять код звонящего " (Caller ID) — если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);
- " Статический IP-адрес пользователя " — при установлении соединения пользователю назначается фиксированный IP-адрес;
- " Использовать статическую маршрутизацию " — при установлении соединения пользователю пересылается указанный список маршрутизаторов.
Рис. 10.23.
Дата добавления: 2015-10-13; просмотров: 987;