Я пытаюсь ограничить круг лиц, которые могут получить доступ к нашему шлюзу удаленных рабочих столов, основываясь как на членстве в группе, так и на IP-адресе (чтобы люди в группе A могли получить доступ к системе только с IP-адреса X). Сервер сетевой политики, установленный шлюзом удаленных рабочих столов, похоже, подразумевает, что это можно сделать, есть параметр для ограничения доступа на основе IP-адреса клиента, однако это не работает правильно.
Если я добавлю ограничение IP-адреса, пользователи не смогут подключиться, даже если у них есть правильный IP-адрес, снятие этого ограничения означает, что они смогут подключиться. При просмотре журнала аудита выясняется, что IP-адреса там нет.
Кто-нибудь знает, как заставить это работать?
К сожалению, это невозможно.
Если смотреть с НПС, радиус-клиент - это сервер шлюза RDS (именно клиент фактически запрашивает аутентификацию и / или учет у сервера NPS / Radius). Таким образом, клиентский компьютер, подключенный к шлюзу RDS, не виден для сервера RADIUS.
Это почти то же самое на других устройствах (примером может быть точка доступа), где клиент - это устройство, которое перенаправляет запрос auth / acc на сервер NPS / radius, а не устройство, которое фактически пытается подключиться.
Вы можете ограничить доступ на сетевом уровне, но на этом этапе вы не можете различать разные группы пользователей.