探秘远程管理Windows2008服务器新功能(1)
|
3、远程管理Windows2008服务器,配置TS Gateway策略 配置好服务器属性之后,必须创建“连接身份验证策略” 和“资源身份验证策略”。默认情况下,TS Gateway没有策略,在没有定义至少一种策略之前,TS Gateway无法正常工作。在连接身份验证策略中,可以设置允许通过TS Gateway访问的用户或组、身份验证方法(智能卡或密码),以及RDP设备重定向选项。资源身份验证策略则可以指定那些可以通过TS Gateway访问的主机。 (1).连接身份验证策略 在TS Gateway管理器的左面板上,找到“策略”下的“连接身份验证策略”节点,点击右键,选择“以自定义方式创建新策略(不使用向导)”选项。在弹出对话框的“常规”选项卡中,输入策略的名称。切换到“需求”选项卡,选择允许连接到TS Gateway的用户和计算机组。必须添加至少一个用户组(本地组或AD组)。注意,添加组后,这个组只能连接到TS Gateway;而并没有把该组授权为可以通过TS Gateway连接到其它主机。如果你想限制用户只能从指定的计算机上进行连接,你也可以添加一个或多个计算机组。在“需求”选项卡上,还可以选择一个或多个身份验证模式(密码和/或智能卡)。
(图6) 无论从安全还是功能方面来说,“设备重定向” 选项卡上的选项都很有用。在远程计算机上可以启用所有设备的重定向,也可以全部禁用, 或者有选择性地禁用某几种设备。由于RDP设备重定向可能会导致一些潜在的安全风险,因此限制重定向是比较明智的。可以根据不同的用户组和身份验证方法,为它们配置多个不同设备重定向权限的连接身份验证策略。例如,对于管理员组的策略,可以强制要求他们使用智能卡进行身份验证,允许所有设备重定向;而对于普通用户,则允许他们使用密码进行身份验证,但限制设备重定向。记住一点,TS Gateway应用连接身份验证策略的顺序和RRAS应用策略的顺序是一致的。 (2).资源身份验证策略 在TS Gateway管理器的左方面板上,找到“策略”下的“资源身份验证策略”节点,点击右键,选择“创建新策略(自定义 在弹出对话框的“常规”选项卡中,输入策略名称和说明。切换到“用户组”选项卡,选择一个或多个用户组(本地组或AD组)注意你在这里指定的用户组和之前在连接身份验证策略中指定的并不一定要一样,因为这里的组是用于控制资源访问权限的,而不仅仅是针对TS Gateway的。 切换到“计算机组”选项卡,这是配置资源身份验证策略时最重要的选项。在这里指定计算机组,注意你在“用户组”选项卡指定的用户组必须有权限访问这里的计算机组。你有三个选择。首先可以从AD选择一个现有的计算机组。你也可以选择一个TS Gateway的计算机组。(选择它,然后点击“浏览”,你可以输入计算机的Domain Name或IP地址来创建这个组)或者,还可以选择允许访问所有内部计算机,如果你只有一个资源身份验证策略时,使用这种方式是很有用的。和连接身份验证策略类似,为不同的资源创建不同的资源身份验证策略也是一种好方法。 在“允许的端口”选项卡上,可以配置RDP会话使用的端口。默认是TCP端口3389,你可以配置为其它任何可用的端口,不过我并不建议这样做。端口3389是公认的RDP端口。如果你想通过隐藏端口的方法来提高安全性,你可以把默认值修改为其它端口。
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
