Назад | Перейти на главную страницу

Как я могу настроить политику удаленного доступа / gpo, чтобы запретить доступ RAS VPN к определенному подразделению?

В моем собственном домене Windows 2000 я хочу, чтобы учетные записи служб не могли подключаться через нашу MS VPN. (Через сервер удаленного доступа Win2000.)

Скажем, моя структура AD выглядит так:

Я хочу иметь пользователей AD в подразделении MyServiceAccts, но не хочу, чтобы они могли подключаться к VPN.

Моя политика удаленного доступа установлена ​​на "Разрешить доступ, если разрешено телефонное соединение", и все мои учетные записи пользователей имеют"Контроль доступа через политику удаленного доступа" устанавливать.

Я вижу, как ограничить его по группе пользователей, но не по подразделению.

Любые идеи?

Привет,

Бен

В настройках VPN в RRAS вы можете изменить политику, чтобы проверить, являются ли пользователи членами группы безопасности домена. Затем вы можете просто добавить пользователей и группы для предоставления доступа. Всем остальным отказано.

OU - это организационные единицы. Группы безопасности разрешают доступ к ресурсам. Они служат разным целям. Иногда было бы неплохо относиться к подразделениям и группам одинаково, но это не так, и обычно это означает, что вы используете их не так, как задумано MS (что обычно вызывает другие проблемы позже)

Я не перед сервером RRAS, поэтому я не могу подробно описать точные параметры, но я обновлю этот ответ позже, если никто другой не предложит шаги.

Дополнение: Создайте группу безопасности. Убедитесь, что у пользователей установлен параметр «Управление доступом через политику удаленного доступа» на вкладке «Телефонный доступ» в разделе «Пользователи и компьютеры». В разделе «Маршрутизация и удаленный доступ» добавьте новую политику удаленного доступа и добавьте к этим условиям, что NAS-Port-Type соответствует «Virtual (VPN)», чтобы применить это к VPN-соединениям, а Windows-Groups соответствует «DOMAIN \ Group», заменяя ваш домен и новая группа.