安裝 RD 閘道角色服務並為 RD 閘道伺服器設定憑證之後,您必須建立 遠端桌面連線授權原則 (RD CAP)、電腦群組及 遠端桌面資源授權原則 (RD RAP)。
本主題說明 RD CAP、電腦群組及 RD RAP 在遠端使用者利用網際網路透過 RD 閘道連線到內部網路時,將如何協助您控制這些使用者對內部網路資源 (電腦) 的存取。
RD CAP
RD CAP 讓您指定可以連線到 RD 閘道伺服器的使用者。您可以指定位於本機 RD 閘道伺服器或 Active Directory 網域服務中的使用者群組。也可以指定使用者存取 RD 閘道伺服器時必須符合的其他條件。您可以在每個 RD CAP 中列出特定的條件。例如,您可能希望使用者群組使用智慧卡透過 RD 閘道連線。
 | 重要 |
使用者若符合 RD CAP 中所指定的條件,即會被授與 RD 閘道伺服器的存取權。您也必須建立遠端桌面資源授權原則 (RD RAP)。RD RAP 讓您指定使用者可透過 RD 閘道伺服器連線的網路資源 (電腦)。您必須同時建立 RD CAP 與 RD RAP,使用者才能透過這部 RD 閘道伺服器連線到網路資源。 |
如需如何建立 RD CAP 的相關資訊,請參閱管理遠端桌面連線授權原則 (RD CAP)。
RD RAP
RD RAP 讓您指定遠端使用者可透過 RD 閘道伺服器連線的內部網路資源。當您建立 RD RAP 時,可以建立電腦群組 (希望遠端使用者連線的內部網路上的電腦清單),並建立此群組與 RD RAP 的關聯。
透過 RD 閘道伺服器連線到內部網路的遠端使用者若至少符合一個 RD CAP 與一個 RD RAP 所指定的條件,即會被授與該網路上的電腦存取權。
 | 附註 |
當您建立 RD 閘道管理的電腦群組與 RD RAP 之間的關聯時,可以將完整網域名稱 (FQDN) 與 NetBIOS 名稱分別新增至 RD 閘道管理的電腦群組中,以同時支援這兩個名稱。當您建立 Active Directory 安全性群組與 RD RAP 的關聯時,如果用戶端所連線的內部網路電腦與 RD 閘道伺服器屬於同一個網域,則會自動支援 FQDN 與 NetBIOS 名稱。如果內部網路電腦與 RD 閘道伺服器屬於不同的網域,則使用者必須指定內部網路電腦的 FQDN。 |
如需如何建立 RD RAP 的相關資訊,請參閱管理遠端桌面資源授權原則 (RD RAP)。
RD CAP 與 RD RAP 一起可提供兩種不同層級的授權,讓您能夠對內部網路上的電腦設定更明確的存取控制層級。
與 RD RAP 產生關聯的網路資源群組與 RD 閘道管理的電腦群組
遠端使用者可透過 RD 閘道連線到位於安全性群組或 RD 閘道管理之電腦群組中的內部網路資源。群組可以是下列任一項:
- 選取 Active Directory 網域服務網路資源群組。Active Directory 網域服務中已有網路資源群組。
- 選取現有的 RD 閘道管理的群組,或建立新群組。安裝之後,您可以使用遠端桌面閘道管理員設定 RD 閘道管理的電腦群組或選取現有的群組。
RD 閘道管理的電腦群組不會出現在 RD 閘道伺服器的 [本機使用者和群組] 中,也無法使用 [本機使用者和群組] 加以設定。 - 允許使用者連線到任何網路資源。在此情況下,使用者將可連線到他們在使用遠端桌面連線時可加以連線的任何內部網路電腦。