Po zainstalowaniu usługi roli Brama usług pulpitu zdalnego i skonfigurowaniu certyfikatu serwera usługi Brama usług pulpitu zdalnego wymagane jest utworzenie zasad Zasady autoryzacji połączeń usług pulpitu zdalnego (RD CAP), grup komputerów i zasad Zasady autoryzacji zasobów usług pulpitu zdalnego (RD RAP).
W tym temacie opisano, jak zasady Zasady RD CAP, grupy komputerów i zasady Zasady RD RAP umożliwiają kontrolowanie dostępu użytkowników zdalnych do wewnętrznych zasobów sieciowych (komputerów) podczas nawiązywania połączenia przez tych użytkowników z siecią wewnętrzną przez Internet za pośrednictwem usługi Brama usług pulpitu zdalnego.
Zasady RD CAP
Zasady Zasady RD CAP umożliwiają określenie użytkowników, którzy mogą nawiązywać połączenia z serwerem usługi Brama usług pulpitu zdalnego. Można określić grupę użytkowników, która istnieje na lokalnym serwerze usługi Brama usług pulpitu zdalnego lub w usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services). Można także określić inne warunki, które użytkownicy muszą spełniać, aby uzyskać dostęp do serwera usługi Brama usług pulpitu zdalnego. Określone warunki można ustalić dla każdej zasady Zasady RD CAP. Można na przykład wymagać, aby grupa użytkowników używała karty inteligentnej na potrzeby nawiązywania połączenia za pośrednictwem usługi Brama usług pulpitu zdalnego.
Ważne | |
Użytkownicy uzyskają dostęp do serwera usługi Brama usług pulpitu zdalnego, jeśli spełnią warunki określone w danej zasadzie Zasady RD CAP. Należy również utworzyć zasadę Zasady autoryzacji zasobów usług pulpitu zdalnego (RD RAP). Zasada Zasady RD RAP umożliwia określanie zasobów sieciowych (komputerów), z którymi użytkownicy mogą nawiązywać połączenie za pośrednictwem usługi Brama usług pulpitu zdalnego. Dopóki zasady Zasady RD CAP i Zasady RD RAP nie zostaną utworzone, użytkownicy nie będą mogli nawiązywać połączeń z zasobami sieciowymi za pośrednictwem tego serwera usługi Brama usług pulpitu zdalnego. |
Aby uzyskać informacje na temat sposobu tworzenia zasad Zasady RD CAP, zobacz temat Zarządzanie zasadami autoryzacji połączeń usług pulpitu zdalnego (RD CAP).
Zasady RD RAP
Zasady Zasady RD RAP umożliwiają określanie zasobów sieci wewnętrznej, z którymi użytkownicy mogą nawiązywać połączenie za pośrednictwem serwera usługi Brama usług pulpitu zdalnego. Tworząc zasadę Zasady RD RAP, można utworzyć grupę komputerów (listę komputerów, z którymi użytkownicy zdalni mogą nawiązywać połączenie) i skojarzyć ją z daną zasadą Zasady RD RAP.
Użytkownicy zdalni nawiązujący połączenie z siecią wewnętrzną za pośrednictwem serwera usługi Brama usług pulpitu zdalnego uzyskują dostęp do komputerów w sieci, jeśli spełniają warunki określone w co najmniej jednej zasadzie Zasady RD CAP oraz jednej zasadzie Zasady RD RAP.
Uwaga | |
Po skojarzeniu grupy komputerów zarządzanych przez usługę Brama usług pulpitu zdalnego z zasadą Zasady RD RAP można obsługiwać zarówno w pełni kwalifikowane nazwy domeny oraz nazwy NetBIOS, dodając każdą z tych nazw z osobna do grupy komputerów zarządzanych przez usługę Brama usług pulpitu zdalnego. Po skojarzeniu grupy zabezpieczeń usługi Active Directory z zasadą Zasady RD RAP zarówno nazwy FQDN, jak i nazwy NetBIOS, są obsługiwane automatycznie, jeśli wewnętrzny komputer sieciowy, z którym klient nawiązuje połączenie, należy do tej samej domeny, co serwer usługi Brama usług pulpitu zdalnego. Jeśli komputer w sieci wewnętrznej należy do innej domeny niż serwer usługi Brama usług pulpitu zdalnego, użytkownicy muszą określić nazwę FQDN tego komputera. |
Aby uzyskać informacje na temat sposobu tworzenia zasad Zasady RD RAP, zobacz temat Zarządzanie zasadami autoryzacji zasobów usług pulpitu zdalnego (RD RAP).
Zasady Zasady RD CAP wraz z zasadami Zasady RD RAP zapewniają dwa różne poziomy autoryzacji, umożliwiając skonfigurowanie bardziej szczegółowego poziomu kontroli dostępu do komputerów w sieci wewnętrznej.
Grupy zasobów sieciowych i grupy komputerów zarządzanych przez bramę usług pulpitu zdalnego skojarzone z zasadami RD RAP
Użytkownicy zdalni mogą za pośrednictwem usługi Brama usług pulpitu zdalnego nawiązywać połączenie z wewnętrznymi zasobami sieciowymi w grupie zabezpieczeń lub w grupie komputerów zarządzanych przez usługę Brama usług pulpitu zdalnego. Może to być jedna z następujących grup:
- Wybierz grupę zasobów sieciowych usług domenowych w usłudze Active Directory. Grupa zasobów sieciowych istnieje już w usługach domenowych w usłudze Active Directory.
- Wybierz istniejącą grupę zarządzaną przez bramę usług pulpitu zdalnego lub utwórz nową grupę. Grupę komputerów zarządzanych przez usługę Brama usług pulpitu zdalnego można skonfigurować (lub wybrać istniejącą grupę) po ukończeniu instalacji za pomocą programu Menedżer bramy usług pulpitu zdalnego.
Grupa komputerów zarządzanych przez usługę Brama usług pulpitu zdalnego nie zostanie wyświetlona w przystawce Użytkownicy i grupy lokalne na serwerze usługi Brama usług pulpitu zdalnego i nie można jej skonfigurować za pomocą tej przystawki. - Zezwól użytkownikom na nawiązanie połączenia z dowolnym zasobem sieciowym. W tym przypadku użytkownicy mogą nawiązywać połączenie z dowolnym komputerem w sieci wewnętrznej, z którym mogli nawiązywać połączenie za pomocą usługi Podłączanie pulpitu zdalnego.