ISA防火墙中的×××服务依赖于Windows server系统中的路由和远程访问服务(RRAS),对于用户的远程拨入授权,ISA防火墙使用和RRAS相同的方式。
当某个用户发起×××连接时,只有在满足以下两个条件之一时,ISA防火墙允许该用户的×××拨入:
  • 用户账户属性的拨入标签中显式允许此用户的远程访问权限 (允许访问);
  • 用户账户属性的拨入标签中设置此用户通过远程访问策略控制访问,但是具有匹配的远程访问策略(RAP)授予此用户拨入权限。
 
 
要满足第一个条件非常简单,你可以在相应用户的账户属性的拨入标签中简单的选择允许访问即可,如下图所示:
***userauth01.jpg
 
而第二个条件稍微有些复杂。默认情况下,不属于域的Windows server系统和具有域功能级为Windows 2000 native或者Windows server 2003的活动目录会将用户的拨入权限设置为通过远程访问策略控制访问,但是未提升域功能级的活动目录如Windows 2000 mix会将用户的拨入权限设置为拒绝访问,并且通过远程访问策略控制访问选项不可用,你需要提升域功能级为Windows 2000 native或者Windows server 2003后才能使用此选项。
在ISA防火墙启用×××服务时,会在RRAS的远程访问策略中创建一个名为ISA服务器默认策略的RAP,
***userauth02.jpg
它的内容非常简单,就是拒绝任何时间的×××访问的远程访问权限,如下图所示。每次ISA防火墙启动时,会使用自己的配置覆盖RRAS中ISA服务器默认策略的设置,并且确保此ISA服务器默认策略为RAP列表中的第一位,因此,默认情况下,除了在访问权限中显式允许远程拨入的用户,其他用户不能拨入×××。
***userauth03.jpg
ISA防火墙中唯一可以修改ISA服务器默认策略的位置就是在配置×××客户端访问中的标签,
***userauth04.jpg
在这个地方你选择允许拨入×××的域用户组后,ISA防火墙会修改ISA服务器默认策略为当Windows组属性匹配你选择的域用户组时,授予用户远程访问权限,如下图所示:
***userauth05.jpg
 
但是ISA防火墙中的组设置只对域环境有效。对于非域环境,你不能添加本地计算机上的内建用户组,如Administrators、Power users、Users等等,因为ISA防火墙无法区分内建用户组和域用户组,详情请参见KB891240,You cannot add some local built-in groups when you configure ××× client access in Internet Security and Acceleration Server 2004
你可以手动对ISA服务器默认策略进行修改,但是每次ISA防火墙启动时,同样会使用自己的配置覆盖RRAS中ISA服务器默认策略的配置;如果此RAP不存在(被删除),则只有在ISA管理控制台中修改×××属性中的设置时ISA防火墙才会重新创建此RAP。
因此,对于非域环境下的用户远程拨入授权,你只能通过在用户账户拨入属性中显式允许用户远程访问进行;而对于域环境下的用户远程拨入授权,除了在用户账户拨入属性中显式允许用户远程访问外,你还可以通过在ISA防火墙管理控制台中修改×××属性允许域用户组访问进行。
最后还有一点,在域环境下为了让ISA防火墙读取域用户的拨入权限设置,你必须将ISA防火墙计算机加入到域的RAS and IAS Servers域本地安全组中,如下图所示:
***userauth06.jpg
你可以在Active Directory用户和计算机管理控制台中手动添加,也可以通过在ISA服务器上运行以下命令来添加:
Netsh ras add registeredserver
*** 防火墙 ISA

0

收藏

上一篇:HTTP 应用层过滤的兼容性问题... 下一篇:配置防火墙客户和Web代理客户的...
noavatar_middle.gif
lianxin-0106

88篇文章,4W+人气,0粉丝

noavatar_middle.gif

Ctrl+Enter 发布

发布

取消

推荐专栏更多

5366d1f50328a62facbf5db1d91c319a.png
VMware vSAN中小企业应用案例

掌握VMware超融合技术

共41章 | 王春海
¥51.00 346人订阅
订   阅
9d82eccb4e3c371eaeac41193bbef757.png
基于Kubernetes企业级容器云平台落地与实践

容器私有云平台实践之路

共15章 | 李振良OK
¥51.00 596人订阅
订   阅
45862f289339dc922ffda669fd74ad9b.jpg
网工2.0晋级攻略 ——零基础入门Python/Ansible

网络工程师2.0进阶指南

共30章 | 姜汁啤酒
¥51.00 1566人订阅
订   阅
629650e188ddde78b213e564c2e9ebff.jpg
负载均衡高手炼成记

高并发架构之路

共15章 | sery
¥51.00 507人订阅
订   阅
dc6736c5fd50474b5df8b76b040e3d03.jpg
带你玩转高可用

前百度高级工程师的架构高可用实战

共15章 | 曹林华
¥51.00 462人订阅
订   阅

猜你喜欢

我的友情链接 用路由器充当DHCP服务器自动分配IP地址 SoftEther 突破防火墙 向Kubernetes集群添加/删除Node 利open×××自带的http-proxy突破防火墙的封锁 华为USG防火墙恢复密码步骤 谈谈网站防盗链 practice:在win2008R2上使用(NLB)网络负载均衡 ROS配置的导出/导入、系统的备份/恢复 linux的/etc/sysconfig/下找不到iptables文件 细说firewalld和iptables CentOS7中firewall防火墙详解和配置,.xml服务配置详解 简述centOS 7系统用户和组的管理及配置 解析DELL R710服务器迁移操作内容 开学季出大事:某教育局丢失3台虚拟机 EVA4400存储虚拟机+数据库数据恢复成功案例 服务器数据恢复通用方法+服务器分区丢失恢复案例 在CentOS7上部署squid缓存服务器及代理功能 EMC 5400服务器raid阵列瘫痪数据恢复成功案例 服务器数据恢复案例 / raid5阵列多块硬盘离线处理方法
f92360e227f9d91cdff7ea95120630ef.png
left-qr.jpg

扫一扫,领取大礼包

0

分享
qr-url?url=https%3A%2F%2Fblog.51cto.com%2F19870106%2F52863
lianxin-0106
noavatar_middle.gif