Nachdem Sie den RD-Gateway-Rollendienst installiert und ein Zertifikat für den RD-Gatewayserver konfiguriert haben, müssen Sie Remotedesktop-Verbindungsautorisierungsrichtlinien (RD CAPs), Computergruppen und Ressourcenautorisierungsrichtlinen für Remotedesktop (RD-RAPs) erstellen.
In diesem Thema wird beschrieben, wie Ihnen RD CAPs, Computergruppen und RD-RAPs die Steuerung des Remotebenutzerzugriffs auf interne Netzwerkressourcen (Computers) ermöglichen, wenn Remotebenutzer über das Internet und RD-Gateway eine Verbindung mit dem internen Netzwerk herstellen.
Remotedesktop-Verbindungsautorisierungsrichtlinien (RD-CAPs)
Mithilfe von RD CAPs können Sie angeben, wer eine Verbindung mit einem RD-Gatewayserver herstellen kann. Sie können eine Benutzergruppe angeben, die auf dem lokalen RD-Gatewayserver oder in den Active Directory-Domänendiensten vorhanden ist. Darüber hinaus können Sie andere Bedingungen angeben, die Benutzer für den Zugriff auf einen RD-Gatewayserver erfüllen müssen. In jeder RD CAP können Sie bestimmte Bedingungen auflisten. Beispielsweise können Sie festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss, um über RD-Gateway eine Verbindung herzustellen.
Wichtig | |
Benutzer erhalten Zugriff auf einen RD-Gatewayserver, wenn sie die in der RD CAP angegebenen Bedingungen erfüllen. Sie müssen auch eine Ressourcenautorisierungsrichtlinie für Remotedesktop (RD-RAP) erstellen. Eine RD-RAP ermöglicht Ihnen das Angeben der Netzwerkressourcen (Computer), mit denen Benutzer über RD-Gateway Verbindungen herstellen können. Erst wenn Sie sowohl eine RD CAP als auch eine RD-RAP erstellt haben, können Benutzer über diesenRD-Gatewayserver Verbindungen mit Netzwerkressourcen herstellen. |
Informationen zum Erstellen von RD CAPs finden Sie unter Verwalten von Remotedesktop-Verbindungsautorisierungsrichtlinien (RD-CAPs).
Remotedesktop-Ressourcenautorisierungsrichtlinien (RD-RAPs)
RD-RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mit denen Remotebenutzer über einen RD-Gatewayserver eine Verbindung herstellen können. Wenn Sie eine RD-RAP erstellen, können Sie eine Computergruppe erstellen (eine Liste der Computer im internen Netzwerk, mit denen die Remotebenutzer Verbindungen herstellen können) und diese der RD-RAP zuordnen.
Remotebenutzer, die über einen RD-Gatewayserver eine Verbindung mit einem internen Netzwerk herstellen, erhalten Zugriff auf die Computer im Netzwerk, wenn sie die Bedingungen erfüllen, die in mindestens einer RD CAP und in einer RD-RAP angegeben sind.
Hinweis | |
Beim Zuordnen einer von RD-Gateway verwalteten Computergruppe zu einer RD-RAP können sowohl vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) als auch NetBIOS-Namen unterstützt werden, indem beide Namen einzeln der von RD-Gateway verwalteten Computergruppe hinzugefügt werden. Beim Zuordnen einer Active Directory-Sicherheitsgruppe zu einer RD-RAP werden FQDNs und NetBIOS-Namen automatisch unterstützt, wenn der interne Netzwerkcomputer, mit dem der Client eine Verbindung herstellt, derselben Domäne angehört wie der RD-Gatewayserver. Gehört der interne Netzwerkcomputer jedoch zu einer anderen Domäne als der RD-Gatewayserver, müssen die Benutzer den FQDN des internen Netzwerkcomputers angeben. |
Informationen zum Erstellen von RD-RAPs finden Sie unter Verwalten von Remotedesktop-Ressourcenautorisierungsrichtlinien (RD-RAPs).
RD CAPs und RD-RAPs bieten zusammen zwei verschiedene Autorisierungsstufen, die Ihnen das Konfigurieren einer spezifischeren Zugriffssteuerung für Computer in einem internen Netzwerk ermöglichen.
Netzwerkressourcengruppen und von RD-Gateway verwaltete Computergruppen, die RD-RAPs zugeordnet sind
Remotebenutzer können über RD-Gateway eine Verbindung mit internen Netzwerkressourcen in einer Sicherheitsgruppe oder in einer von RD-Gateway verwalteten Computergruppe herstellen. Folgende Gruppen sind verfügbar:
- Wählen Sie eine Active Directory-Domänendienste-Netzwerkressourcengruppe aus. Die Netzwerkressourcengruppe ist bereits in Active Directory-Domänendienste vorhanden.
- Wählen Sie eine vorhandene von RD-Gateway verwaltete Gruppe aus, oder erstellen Sie eine neue Gruppe. Nach der Installation können Sie mithilfe von Remotedesktopgateway-Manager eine von RD-Gateway verwaltete Computergruppe konfigurieren oder eine vorhandene Gruppe auswählen.
Eine von RD-Gateway verwaltete Computergruppe wird auf dem RD-Gatewayserver weder in Lokale Benutzer und Gruppen angezeigt, noch kann sie mithilfe von Lokale Benutzer und Gruppen konfiguriert werden. - Benutzer können Verbindung mit beliebiger Netzwerkressource herstellen. In diesem Fall können Benutzer eine Verbindung mit jedem Computer im internen Netzwerk herstellen, mit dem sie über Remotedesktopverbindung eine Verbindung herstellen könnten.