我已经设置了 Windows 服务角色 VPN。下一步是限制 VPN 会话用户帐户的访问权限。应禁止客户端查看某些文件夹(例如:系统文件夹、程序文件、用户配置文件),但应允许查看某些文件夹。我这次不打算使用 Active Directory,因为它尚未启用。
是否可以选择所有文件夹共享和 ntfs(安全选项卡)权限,并赋予其完全控制或修改权限给经过身份验证的用户(我选择授予 VPN 连接 Windows 标准用户帐户访问权限的用户除外)。还是反过来?
并从具有共享和 ntfs 权限的文件夹中删除属于经过身份验证的用户组的用户组?
答案1
也许。
请记住,如果没有 AD 全局安全,您尝试使用文件 ACL 控制的任何内容都只能在实施 VPN 的一台服务器上起作用,即,如果没有 AD,您只有用于 VPN 身份验证和您希望设置的文件 ACL 的本地帐户。
AD 可能值得考虑这一点.....
因此,只要 VPN 和文件服务器是同一台机器 - 您就可以以这种方式处理它,但最大的技巧是锁定对所有内容的访问,然后才打开对您希望 VPN 访问的少量内容的访问权限(即非 ACL 安全设置,如“遍历目录”也需要考虑。)
规划此类 PN 的详细清单可在此处找到: https://technet.microsoft.com/en-us/library/cc725734(v=ws.10).aspx