Настройка прав пользователей для подключения к серверу удаленного доступа

При отсутствии сервера RADIUS (см. ниже) разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией Свойств пользователя и Политик удаленного доступа, настраиваемых индивидуально для каждого сервера удаленного доступа.

Если домен Active Directory работает в смешанном режиме, то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке " Входящие звонки " (Dial-In). При этом есть только два варианта — разрешить или запретить (рис. 10.22). по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера (Call-back). Здесь имеются три варианта:

• " Ответный вызов не выполняется " — при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом клиента, если доступ разрешен, то устанавливается сетевое соединение и пользователь получает возможность работать в сети;
• " Устанавливается вызывающим " — в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей — пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
• " Всегда по этому номеру " (с указанием номера телефона) — данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям — здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита — злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).

Рис. 10.22.

Если домен работает в основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через Политики удаленного доступа (о Политиках будет рассказано ниже; рис. 10.23). Заметим, что явное разрешения или явный запрет имеют более высокий приоритет, чем Политики удаленного доступа.

В основном режиме в Свойствах пользователя становятся доступны дополнительные параметры:

• " Проверять код звонящего " (Caller ID) — если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);
• " Статический IP-адрес пользователя " — при установлении соединения пользователю назначается фиксированный IP-адрес;
• " Использовать статическую маршрутизацию " — при установлении соединения пользователю пересылается указанный список маршрутизаторов.

Рис. 10.23.