Политики удаленного доступа
Политика удаленного доступа по умолчанию
В процессе установки службы маршрутизации и удаленного доступа создается политика удаленного доступа по умолчанию (default policy). Эта политика удаленного доступа разрешает удаленный доступ к серверу удаленного доступа только в том случае, если устанавливающему входящее соединение пользователю предоставлено право удаленного доступа непосредственно на уровне его учетной записи. Политика по умолчанию имеет следующую конфигурацию:
- ограничения по дням недели и времени доступа не установлены;
- право удаленного доступа запрещено (флажок Deny remote access permission);
- все свойства профиля установлены в значения по умолчанию.
Порядок применения политик удаленного доступа
Каждый пользователь может подпадать под действие сразу нескольких политик удаленного доступа. Для получения доступа необходимо, чтобы пользовательский запрос удовлетворял всем параметрам хотя бы одной политики удаленного доступа, предоставляющей ему право удаленного подключения. При этом используется следующий порядок применения параметров политик удаленного доступа.
Проверяется первая политика в упорядоченном списке политик. Если подходящей политики не существует, то попытка соединения отклоняется.
Если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. Если политик больше нет, попытка соединения отклоняется.
Если все условия политики соответствуют попытке соединения, то проверяется значение атрибута Ignore-User-Dialin-Properties данной политики удаленного доступа. Если атрибут имеет значение False, система проверяет наличие разрешение на удаленное подключение на уровне учетной записи пользователя, предпринимающего попытку соединения. Если на уровне учетной записи удаленный доступ запрещен (Deny access), то попытка соединения отклоняется. Если же удаленный доступ разрешается (Allow access), то система проверяет соответствие остальным свойствам пользователя и профиля удаленного доступа.
Соединение устанавливается только в том случае, если параметры соединения соответствуют всем параметрам свойств учетной записи пользователя и свойств профиля. Администратор может не определять явно на уровне учетной записи пользователя разрешение на удаленное подключение, установив флажок Control access through Remote Access Policy (Управление доступом через политику удаленного доступа). В этом случае решение о предоставлении или отклонении удаленного доступа принимается исключительно на основании параметров политики удаленного доступа. Соединение будет установлено только в том случае, если на уровне политики (под которую подпадает рассматриваемый пользователь) установлено разрешение Grant remote access permission, при этом применяются свойства пользователя и свойства профиля.
Если значение атрибута Ignore-User-Dialin-Properties установлено равным True, настройки учетной записи пользователя игнорируются. При этом права на предоставление удаленного доступа определяются исключительно параметрами политики удаленного доступа. Если на уровне политики, под которую подпадает пользователь, ему отказано в разрешении на удаленный доступ (флажок Deny remote access permission), соединение будет отклонено. Если разрешение предоставлено (Allow remote access permission), система применяет профиль удаленного доступа. Соединение будет установлено только в случае, когда параметры соединения удовлетворяют требованиям профиля удаленного доступа.