在基于 Windows Server 2003 的本机模式域中，可以使用以下三种类型的远程访问策略：• 显式允许

    远程访问策略被设置为“授予远程访问权限”，且连接尝试满足策略条件。

    • 显式拒绝
    远程访问策略被设置为“拒绝远程访问权限”，且连接尝试满足策略条件。

    • 隐式拒绝
    连接尝试不满足任何远程访问策略条件。

    要实施远程访问策略，请对该策略进行配置。然后，配置用户帐户拨入设置，以指定远程访问权限由远程访问策略控制。

    如何配置远程访问策略

    默认情况下，在 Windows Server 2003 中提供两种远程访问策略：

    • 到 Microsoft 路由选择和远程访问服务器的连接
    此策略适合到路由和远程访问服务的所有远程访问连接。

    • 到其它访问服务器的连接
    此策略适合所有传入连接，而不考虑网络访问服务器的类型。

    仅在满足以下条件之一时，Windows Server 2003 才会使用到其它访问服务器的连接策略：

    • 到 Microsoft 路由选择和远程访问服务器的连接策略不可用。

    • 策略的顺序被更改。

    要配置新的远程访问安全策略，请按照下列步骤操作：

    1. 单击“开始”，指向“程序”，指向“管理工具”，然后单击“路由和远程访问”。

    2. 展开“Server_Name”，然后单击“远程访问策略”。

    注意：如果尚未配置远程访问，请单击“操作”菜单上的“配置并启用路由和远程访问”，然后按照“路由和远程访问服务器安装向导”中的步骤进行操作。

    3. 创建一个新的远程访问策略。

    下面的示例步骤演示了如何创建新的远程访问策略，该策略可在特定日期内向特定用户显式授予远程访问权限。此策略会在其他日期隐式阻止访问。

    a.  右键单击“远程访问策略”，然后单击“新建远程访问策略”。
    b.  在“新建远程访问策略向导”中，单击“下一步”。
    c.  在“策略名称”框中，键入测试策略，然后单击“下一步”。
    d.  在“访问方法”页上，单击“拨号”，然后单击“下一步”。
    e.  在“用户或组访问”页上，单击“用户”或“组”，然后单击“下一步”。

    注意：如果希望为某个组配置远程访问策略，请单击“添加”，在“输入要选择的对象名称”框中键入该组的名称，然后单击“确定”。
    f.  在“身份验证方法”页上，确保只选中了“Microsoft 加密身份验证版本 2 (MS-CHAPv2)”复选框，然后单击“下一步”。
    g.  在“策略加密级别”页上，单击“下一步”。
    h.  单击“完成”。
    在“远程访问策略”节点中将显示一个名为“测试策略”的新策略。
    i.  在右窗格中，右键单击“测试策略”，然后单击“属性”。
    j.  在“测试策略属性”对话框中，确保选中了“授予远程访问权限”。
    k.  单击“编辑配置文件”，单击以选中“仅允许在这些日期和时间访问”复选框，然后单击“编辑”。
    l.  单击“拒绝”，单击“周一到周五上午 8:00 到下午 4:00”，再单击“允许”，然后单击“确定”。
    m.  单击“确定”以关闭“编辑拨入配置文件”对话框。
    n.  单击“确定”以关闭“测试策略属性”对话框。
    “测试策略”策略将发挥作用。
    o.  重复步骤 a 到 h 以创建另一个名为“测试阻止策略”的远程访问策略。
    p.  在右窗格中，右键单击“测试阻止策略”，然后单击“属性”。
    q.  在“测试阻止策略属性”对话框中，单击“拒绝远程访问权限”。
    “测试阻止策略”策略将发挥作用。

    4. 退出“路由和远程访问”。

    如何配置用户帐户拨入设置

    要指定远程访问权限由远程访问策略控制，请按照下列步骤操作：

    1. 单击“开始”，指向“程序”，指向“管理工具”，然后使用以下方法中的一种。

    方法 1：对于 Active Directory 域控制器

    如果计算机是 Active Directory 目录服务域控制器，请按照下列步骤操作：

    a.  单击“Active Directory 用户和计算机”。
    b.  在控制台树中，展开“Your_domain”，然后单击“用户”。

    方法 2：对于独立的 Windows Server 2003 服务器

    如果计算机是独立的 Windows Server 2003 服务器，请按照下列步骤操作：

    a.  单击“计算机管理”。
    b.  在控制台树中，单击“系统工具”，单击“本地用户和组”，然后单击“用户”。
 
    2. 右键单击用户帐户，然后单击“属性”。

    3. 在“拨入”选项卡上，单击“通过远程访问策略控制访问”，然后单击“确定”。

    注意：如果“通过远程访问策略控制访问”不可用，则 Active Directory 可能是在混合模式下运行的。 有关 Active Directory 在混合模式下运行时不可用的拨入选项的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
193897 (http://support.microsoft.com/kb/193897/) 在混合模式下，无法使用 Active Directory 的拨入选项 

    疑难解答

    如果在策略配置中没有使用组来指定远程访问权限，请确保禁用了来宾帐户。同时，还应确保将来宾帐户的远程访问权限设置为“拒绝访问”。为此，请使用以下方法之一。

    方法 1：对于 Active Directory 域控制器

    1. 单击“开始”，指向“程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。
    2. 在控制台树中，展开“Your_domain”，然后单击“用户”。
    3. 右键单击“来宾”，然后单击“属性”。
    4. 在“拨入”选项卡上，单击“拒绝访问”，然后单击“确定”。
    5. 右键单击“来宾”，指向“所有任务”，然后单击“禁用帐户”。
    6. 收到“对象来宾已被禁用”消息时，单击“确定”。
    7. 退出“Active Directory 用户和计算机”。

    方法 2：对于独立的 Windows Server 2003 服务器
    1. 单击“计算机管理”。
    2. 在控制台树中，单击“系统工具”，单击“本地用户和组”，然后单击“用户”。
    3. 右键单击“来宾”，然后单击“属性”。
    4. 在“拨入”选项卡上，单击“拒绝访问”，然后单击“确定”。
    5. 右键单击“来宾”，然后单击“属性”。
    6. 单击以选中“帐户已禁用”复选框，然后单击“确定”。
    7. 退出“计算机管理”。