Эта модель создается, когда в свойствах учетной записи в закладке Dial-in явно задано разрешение либо запрещение удаленного доступа флагами:
Allow access разрешение на удаленный доступ
Deny access запрет на удаленный доступ
Эта модель хорошо работает для небольшого числа пользователей т.к. для каждого пользователя приходится вручную настраивать удаленный доступ.
Однако, сначала будут проверены условия политики и, если условия хотя бы одной политики будут выполнены, то тогда будет проверяться разрешение в свойствах учетной записи. Поэтому, хотя бы одна политика с разрешающими условиями должна быть определена.
Если пользователю разрешен доступ в свойствах учетной записи, то проверяются другие настройки в свойствах пользователя и профиля политики, по которой был выполнен вход. Разрешения доступа, установленные в политике при этом игнорируются.
2. Доступ определяется политикой удаленного доступа в смешанном (mixed-mode) режиме домена. Этот тип доступа устанавливается, когда в свойствах всех учетных записей явно задано Allow access но вход выполняется в первую очередь не через стандартную политику, а через дополнительные политики с разными условиями. Например:
а) доступ разрешить только для пользователей группы admin. В этом случае можно удалить стандартную политику и создать новую, в которой задать условие Windows-Groups с указанием группы admin и включить флаг “Grant remote access permissions”
б) доступ разрешить всем, кроме группы admin. В этом случае нужно создать вторую политику, в которой задать условие Windows-Groups с указанием группы admin и включить флаг “Deny remote access permissions”. Выделить эту политику и в контекстном меню выбрать Move-up, чтобы ее поставить на первое место перед стандартной. Для явного запрета доступа группе нужно во второй политике в свойствах профиля включить Restrict dial-in to this number only – несуществующий номер.
3. Доступ определяется политикой удаленного доступа в естественном (native-mode) режиме домена. При этом доступе в свойствах всех учетных записей устанавливается флаг
Control access through Remote access Policy. Этот флаг и часть других в учетной записи пользователя доступны только в Native режиме домена.В этом случае доступ определяется только настройками в политике удаленного доступа. Если в политике установлен флаг Deny remote access permission, то всем пользователям, которые соответствуют условиям политики, доступ будет закрыт. И наоборот, если установлен флаг Grant remote access permission, то всем пользователям, которые соответствуют условиям политики, свойствам учетной записи и профилю, доступ будет открыт.
Вопросы на закрепление:
- Где проверяется доступ в первую очередь. Когда настройки политики не играют никакой роли, а доступ определяется только свойствами учетной записи
- Как можно ограничить доступ для определенных групп пользователей и по времени?