Vpn
如何設置遠端訪問策略/gpo 以拒絕 RAS VPN 訪問特定 OU?
在我的 Windows 2000 Native 域上,我想阻止服務帳戶通過我們的 MS VPN 進行連接。(通過 Win2000 RAS 伺服器。)
假設我的廣告結構是這樣的:
我的域
- 我的使用者
- 我的服務帳戶
我希望在 MyServiceAccts OU 中有 AD 使用者,但不希望他們能夠連接到 VPN。
我的遠端訪問策略設置為“如果允許撥入權限則允許訪問”,並且我的所有使用者帳戶都設置了“通過遠端訪問策略控制訪問”。
我可以看到如何按使用者組限制它,但不能按 OU。
有任何想法嗎?
乾杯,
Ben
在 RRAS 的 VPN 設置中,您可以更改策略以檢查使用者是否是域安全組的成員。然後,您可以簡單地添加使用者和組以授予訪問權限。其他人都被拒絕。
OU 是組織單位。安全組允許訪問資源。它們服務於不同的目的。有時,將 OU 和組同等對待會很好,但它們並非如此,這通常意味著您正在以不符合 MS 預期的方式使用它們(這通常會在以後導致其他問題)
我不在 RRAS 伺服器前面,所以我無法詳細說明確切的選項,但如果沒有其他人提出這些步驟,我稍後會更新這個答案。
Addn:創建一個安全組。確保使用者在使用者和電腦的撥入選項卡上選擇了“通過遠端訪問策略控制訪問”選項。在路由和遠端訪問中添加新的遠端訪問策略,並添加到該條件 NAS-Port-Type 匹配“虛擬 (VPN)”以將其應用於 VPN 連接,Windows-Groups 匹配“DOMAIN\Group”替換您的域和新組。