在我的 Windows 2000 Native 域上,我想阻止服务帐户通过我们的 MS VPN 进行连接。(通过 Win2000 RAS 服务器。)
假设我的 AD 结构是这样的:
- 我的域名
- 我的用户
- 我的服务帐户
我希望 MyServiceAccts OU 中拥有 AD 用户,但不希望他们能够连接到 VPN。
我的远程访问策略设置为“如果允许拨入权限则允许访问“,并且我的所有用户帐户都有”通过远程访问策略控制访问“ 放。
我知道该如何通过用户组来限制它,但无法通过 OU 来限制它。
有任何想法吗?
干杯,
本
答案1
在 RRAS 中的 VPN 设置中,您可以更改策略以检查用户是否是域安全组的成员。然后,您只需添加用户和组即可授予访问权限。其他所有人都被拒绝。
OU 是组织单位。安全组允许访问资源。它们有不同的用途。有时将 OU 和组视为相同会很好,但事实并非如此,这通常意味着您使用它们的方式不符合 MS 的意图(这通常会在以后导致其他问题)
我并不在 RRAS 服务器前面,所以我无法详细说明确切的选项,但如果没有其他人提出这些步骤,我会稍后更新这个答案。
添加:创建一个安全组。确保用户在“用户和计算机”的“拨入”选项卡上选择了“通过远程访问策略控制访问”选项。在“路由和远程访问”中添加新的远程访问策略,并向该策略添加条件 NAS-Port-Type 匹配“虚拟 (VPN)”以将其应用于 VPN 连接,Windows-Groups 匹配“DOMAIN\Group”以替换您的域和新组。