Grundlegendes zu Autorisierungsrichtlinien für Remotedesktopgateway

Mithilfe von RD CAPs können Sie angeben, wer eine Verbindung mit einem RD-Gatewayserver herstellen kann. Sie können eine Benutzergruppe angeben, die auf dem lokalen RD-Gatewayserver oder in den Active Directory-Domänendiensten vorhanden ist. Darüber hinaus können Sie andere Bedingungen angeben, die Benutzer für den Zugriff auf einen RD-Gatewayserver erfüllen müssen. In jeder RD CAP können Sie bestimmte Bedingungen auflisten. Beispielsweise können Sie festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss, um über RD-Gateway eine Verbindung herzustellen.

Wichtig

Benutzer erhalten Zugriff auf einen RD-Gatewayserver, wenn sie die in der RD CAP angegebenen Bedingungen erfüllen. Sie müssen auch eine Ressourcenautorisierungsrichtlinie für Remotedesktop (RD-RAP) erstellen. Eine RD-RAP ermöglicht Ihnen das Angeben der Netzwerkressourcen (Computer), mit denen Benutzer über RD-Gateway Verbindungen herstellen können. Erst wenn Sie sowohl eine RD CAP als auch eine RD-RAP erstellt haben, können Benutzer über diesenRD-Gatewayserver Verbindungen mit Netzwerkressourcen herstellen.

Informationen zum Erstellen von RD CAPs finden Sie unter Verwalten von Remotedesktop-Verbindungsautorisierungsrichtlinien (RD-CAPs).

RD-RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mit denen Remotebenutzer über einen RD-Gatewayserver eine Verbindung herstellen können. Wenn Sie eine RD-RAP erstellen, können Sie eine Computergruppe erstellen (eine Liste der Computer im internen Netzwerk, mit denen die Remotebenutzer Verbindungen herstellen können) und diese der RD-RAP zuordnen.

Remotebenutzer, die über einen RD-Gatewayserver eine Verbindung mit einem internen Netzwerk herstellen, erhalten Zugriff auf die Computer im Netzwerk, wenn sie die Bedingungen erfüllen, die in mindestens einer RD CAP und in einer RD-RAP angegeben sind.

Hinweis

Beim Zuordnen einer von RD-Gateway verwalteten Computergruppe zu einer RD-RAP können sowohl vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) als auch NetBIOS-Namen unterstützt werden, indem beide Namen einzeln der von RD-Gateway verwalteten Computergruppe hinzugefügt werden. Beim Zuordnen einer Active Directory-Sicherheitsgruppe zu einer RD-RAP werden FQDNs und NetBIOS-Namen automatisch unterstützt, wenn der interne Netzwerkcomputer, mit dem der Client eine Verbindung herstellt, derselben Domäne angehört wie der RD-Gatewayserver. Gehört der interne Netzwerkcomputer jedoch zu einer anderen Domäne als der RD-Gatewayserver, müssen die Benutzer den FQDN des internen Netzwerkcomputers angeben.

Informationen zum Erstellen von RD-RAPs finden Sie unter Verwalten von Remotedesktop-Ressourcenautorisierungsrichtlinien (RD-RAPs).

RD CAPs und RD-RAPs bieten zusammen zwei verschiedene Autorisierungsstufen, die Ihnen das Konfigurieren einer spezifischeren Zugriffssteuerung für Computer in einem internen Netzwerk ermöglichen.

Remotebenutzer können über RD-Gateway eine Verbindung mit internen Netzwerkressourcen in einer Sicherheitsgruppe oder in einer von RD-Gateway verwalteten Computergruppe herstellen. Folgende Gruppen sind verfügbar:

• Wählen Sie eine Active Directory-Domänendienste-Netzwerkressourcengruppe aus. Die Netzwerkressourcengruppe ist bereits in Active Directory-Domänendienste vorhanden.
  
  
• Wählen Sie eine vorhandene von RD-Gateway verwaltete Gruppe aus, oder erstellen Sie eine neue Gruppe. Nach der Installation können Sie mithilfe von Remotedesktopgateway-Manager eine von RD-Gateway verwaltete Computergruppe konfigurieren oder eine vorhandene Gruppe auswählen.
  
  Eine von RD-Gateway verwaltete Computergruppe wird auf dem RD-Gatewayserver weder in Lokale Benutzer und Gruppen angezeigt, noch kann sie mithilfe von Lokale Benutzer und Gruppen konfiguriert werden.
  
  
• Benutzer können Verbindung mit beliebiger Netzwerkressource herstellen. In diesem Fall können Benutzer eine Verbindung mit jedem Computer im internen Netzwerk herstellen, mit dem sie über Remotedesktopverbindung eine Verbindung herstellen könnten.