设置远程用户账户拨入属性
必须为远程用户设置拨入属性,授予适当的远程访问权限。在200O Server中,不仅可以为远程用户设置账号和权限,还可通过设置远程访问策略,来集中管理账号和权限。远程访问需要验证远程用户的账号来确认其身份。这里主要讲解远程最为简单的用户拨入属性设置,关于远程访问策略将在4.7节详细介绍。
1.用于远程访问的账户数据库
不同的环境,不同的服务器角色,远程访问服务器能够用来身份验证的账户数据库也不尽相同。
-- 作为独立服务器的2000远程访问服务器
非域成员的Windows2000远程访问服务器只能通过木地账户数据库来设置远程访问权限,不能使用基于域的账户数据库,即只能使用Windows2000服务器上的本地用户账户。可以通过"网络和拨号连接"文件夹中的拨号连接属性或通过 "本地用户"和 "组"管理用户账户拨入属性。用户列表基于运行。
-- 作为Active Directory域成员的Windows2000远程访问服务器
对于Windows2000远程访问服务器,无论是Windows2000混合模式域成员服务,还是Windows2000本地模式域成员服务器,都可使用以下4个账户数据库来设置用户拨入属性。
本地账户数据库:使用 "本地用户"和 "组"来管理。
Windows NT4.0域账户数据库:使用Wundows NT4.0的域用户管理器来管理。
Windows2000混合模式域账户数据库:使用 "Active Directory用户和计算机"控制台,或者Windows NT4.0的域用户管理器来管理。
Windows2000本地模式域账户数据库;使用 "Active Directo叮用户和计算机"控制台来管理。
Windows2000域控制器默认为混合模式,允许Windows NT和Windows2000备份域控制器存在同一个域中。只有从域中删除所有的Windows NT域控制器时,域模式才能改为本地模式。在本地模式下,所有的域控制器都升级到Windows2000,而且域控制器上已启用本机模式操作。可参见第2章的有关内容。
为了使远程访问服务器访问在Active Directory中的用户账户拨入属性,但该服务器必须是ActiveDirectory域"RAS and IAS Servers"组成员。当在以混合模式或本地模式域的方式运行Windows2000的远程访问服务器上运行和远程访问向导时,会将远程服务器的计算机账户自动添加到 "RAS and IASServers"组。如果远程访问服务器需要在其他城中访问用户拨入属性,则必须通过 "Active Directory计算机和用户"控制台将计算机账户手动添加到其他域的 "RAS and IAS Servers"安全组中,具体执行以下步骤(也可使用命令netsh ras set registeredserver来完成)。
(1)使用域管理员身份账号登录到域控制器。
(2)选择[开始]-[程序)-[管理工具]-[Active Directory用户和计算机]。
(3)在控制台目录树中,选择[Users]。
(4)在右侧窗格中,用鼠标右键单击[RAS and IAS Servers],然后单击[属性]。
(5)打开[RAS andIAS Servers属性]对话框,切换到[成员]选项卡,如图4.14所示。
(6)单击[添加]按钮,打开如图4.15所示的对话框,选择要添加的远程访问服务器。
2.为本地用户账户设置拨入属性
如果远程访问服务器不是Windows2000域成员,可以向本地用户授予拨入权限。另外,如果远程访问服务器是Windows2000域成员,但不是域控制器,也可使用本地用户账户。具体操作步骤如下。
(1)在远程访问服务器上选择[开始]-[程序]-[管理工具]-[计算机管理]。打开[计算机管理]对话框。
(2)在控制台目录树中,选择[系统工具]-[本地用户和组]-[用户]。
(3)如图4.16所示,从右侧的用户列表中单击要设置拨入属性的用户,单击鼠标右键,从快捷菜单中选择[属性],打开用户属性设置对话框。
(4)切换到如图4.17所示的[拨入]选项卡,开始设置用户账户拨入属性。
(5)设置远程访问权限。在[远程访问权限(拨入或VPN)]区域,选择(允许访问],将允许远程客户拨号连接到远程访问服务器。如果设置了远程访问策略,也可选择[通过远程访问策略控制访问]。
这里的拨入属性也适合于通过VPN方式接入的用户。可以使用此属性来设置是否明确允许、拒绝或通过远程访问策略决定远程访问。如果访问被明确地允许。远程访问策略条件。用户账户属性或配置文件属性仍然可以拒绝连接尝试。
(6)如果要验证用户拨入所使用的电话号码。可选中[验证呼叫方 ID]复选框,然后输入用户呼叫的号码。
这是一种限制用户拨入的手段,如果用户拨入所使用的呼叫电话号码与这里配置的电话号码不匹配,服务器将拒绝拨入连接。要确保此项功能生效,远程用户和远程访问服务器之间的电话系统必须支持呼叫方电话号码,能够将呼叫方电话号码从呼叫方传送到远程访问服务器。不然,如果在这里配置了呼叫方们,连接尝试也将被拒绝,因为无法验证电话号码。
(7)如果要设置回拨限制,在[回拨选项]区域下。单击要为该用户设置的回拨选项。默认不进行回拨。
所谓回拨,就是当甲方拨号到乙方,连接成功后,乙方再回拨到甲方,此时由甲方来支付电话费用。除了让对方支付电话费用外,回拨还有一定的安全功能。这里如果选择[由呼叫方设置],则在连接建立过程中,服务器以呼叫方设置的电话号码回拨呼叫方,这样可由服务器所在企业来支付电话费用。如果选择(总是回拨到]选项,并设置特定的电话号码,还可起到安全作用,强制用户使用指定号码来连接,即使用户账号和密码被盗用,如果不使用指定的电话,也会被拒绝连接。因为不同回拨连接处理的方法不同,所以不能同时配置呼叫方ID和被设置为"由用户设置"或"总是回拨"的回拨。
(8)根据需要指派静态IP地址。一般不用指派静态IP地址。
如果选中[分配静态IP地址]复选框,并输入该用户的静态IP地址,则当连接建立时,该用户将不会使用由远程访问服务器分配给它的IP地址,而是使用此处指派的lP地址。要注意的是,指定的IP地址不可与网络中的其他IP地址重复。
(9)根据需要指派静态路由。一般不用配置静态路由。
只有配置请求拨号路由连接。才会涉及到为用户拨入配置静态路由。此处可配置一个或多个静态路由,当进行请求拨号连接时,应答路由器就会将这些静态路由添加到其路由表中。请参见下一章的有关内容。
3.为域用户账户设置拨入属性
如果远程访问服务器是 Windows2000域成员,希望用户以域用户的身份拨入远程服务器,则需要向域用户授予相应的拨入权限。这要通过Active Directory用户和计算机管理工具来设置。一般在域控制器上操作。
(1)选择[开始]-[程序]-(管理工具]-[Active Directory用户和计算机]。打开[Active Directory用户和计算机]控制台。
(2)展开目录树中的相应域,单击 [users]。
(3)如图4.18所示,在详细信息窗格中,用鼠标右键单击相应的用户名,然后单击 [属性),切换到[拨入]选项卡。
(4)参见本地用户拨入属性的设置步骤进行设置。 "
"通过远程访问策酪控制访问"选项只在Widows2000本地模式域中的用户账户上或在运行独立Windows2000远程访问服务器本地账户上才可用。默认情况下。将独立远程访问服务器上或Windows2000本地模式域中的Administrator和Guest账户设置为"通过远程访问策酪控制访问"。并对Windows2000混合模式域设置为"拒绝"访问"。将独立远程访问服务器或Windows2000本地模式域中新创建的账户设置为"通过远程访问策略控制访问"将Windows2000混合模式域中新创建的账户设置为"拒绝访问"。
【责编:admin】
--------------------next---------------------