Политики удаленного доступа.

Выдача пользователям разрешений на удаленный доступ

Разрешения удаленного доступа.

Установка RRAS

· Запустите Routing and Remote Access Service

· откройте контекстное меню на значке сервера(имя вашего компьютера) и выберите первый пункт: ”Configure and Enable Routing and Remote Access”

· выберите “Remote access server”

· ответьте “Yes, All of the Required Protocols ...”

· Выберите From a specified range of address

· Задайте ( кнопка New) диапазон адресов в вашей сети: 10.N.0.0 – 10.N.0.100 ( N-номер комп)

· Выберите”No, I don’t want to set up this server...”

Вопросы на закрепление:

  • Какие типы связи существуют для удаленного соединения.
  • Как установить службу RAS и какие роли сервера имеются для выбора.

Для того, чтобы пользователи могли регистрироваться на сервере, для каждого из них должна быть заведена учетная запись и в свойствах этой записи должен быть разрешен удаленный доступ. Для настройки удаленного доступа откройте свойства учетной записи пользователя и закладку Dial-in.

В этой закладке:

Allow access разрешение на удаленный доступ

Deny access запрет на удаленный доступ

Control access through Remote access Policy - в этом случае доступ определяется не свойствами этой учетной записи а политикой удаленного доступа. По умолчанию политика разрешает доступ всем в любое время. Этот флаг доступен только в Native режиме домена.В этом случае доступ определяется только настройками в политике удаленного доступа.

þ Verify Caller-ID - проверка телефонного номера звонящего абонента на соответствие указанному номеру. Для этого телефонная станция и модем должны поддерживать функцию Caller-ID. Альтернативой этой функции является обратный вызов.

Callback Options - настройка обратного вызова

No Callback - не делать обратный вызов

Set by Caller - после звонка пользователя на сервер, он определяет номер телефона звонившего и сам ему перезванивает. Это экономит деньги за телефон клиента.

Allways Callback to - сервер перезванивает на определенный номер телефона клиента – это позволяет усилить безопасность доступа.

þ Assign a Static IP address - установить для клиента фиксированный IP адрес ( зарезервировать)

þ Apply Static routes - настраивает статические маршруты для клиента.

Вопросы на закрепление:

  • Где настраивается для пользователя удаленный доступ. Для чего предназначен Call Back.
  • Когда становиться доступным флаг Control access through Remote access Policy и в каких случаях он устанавливается

В более ранних версиях ограничения удаленного доступа задавались только в свойствах учетной записи. Политики удаленного доступа появились только в Win2000 и они применяются в комбинации со свойствами учетной записи. С помощью политик можно задавать время доступа, доступ по принадлежности к группе безопасности и.т.д. По умолчанию задана политика Allow Access if Dial-in Permission is Anabled – всем (т.е.доступ определяется по разрешениям учетной записи)

Следует различать 2 понятия:

Авторизация – это процесс проверки доступа пользователя к ресурсам

Аутентификация – это процесс проверки на возможность входа для пользователя. При аутентификации идет проверка на имя и пароль пользователя, но не проверяются его права на доступ к ресурсам.

Политики удаленного доступа настраиваются в консоли службы:

Routing and Remote Access - Remote Access Policies

В этой консоли будет только одна политика: Allow Access if Dial-in Permission is Anabled

Для ее редактирования - из контекстного меню – Properties:

В верхнем окне назначены ограничения доступа по времени, которые можно отредактировать двойным нажатием на доступе в окне или кнопкой Edit

В нижнем окне задается, действуют ли условия для разрешения доступа – “Grant ...” или для запрещения “Deny ...”

При проверке доступа задействованы 3 компонента проверки:

условия политики – задаются в верхнем окне каждой политики ( это ограничения доступа по времени, по принадлежности пользователя группе ...)

настройки пользователя – в свойствах пользователя в закладке dial-in ( явное разрешение или запрет, обратный вызов ...)

профиль удаленного соединения - в свойствах политики кнопка Profiles

Их взаимодействие определяет 3 модели администрирования удаленного доступа:

1. Доступ определяется свойствами учетной записи пользователя

2. Доступ определяется политикой удаленного доступа в смешанном ( mixed-mode) режиме домена

3. Доступ определяется политикой удаленного доступа в естественном ( native-mode) режиме домена

Результирующее разрешение доступа определяется и политикой и свойствами учетной записи по следующему алгоритму:

Рассмотрим все 3 модели.