安装了 RD 网关角色服务并为该 RD 网关服务器配置了证书之后,必须创建远程桌面连接授权策略 (RD CAP)、计算机组和远程桌面资源授权策略 (RD RAP)。

本主题描述了RD CAP、计算机组和RD RAP如何使您可以控制远程用户通过 RD 网关从 Internet 连接到内部网络时,对内部网络资源(计算机)的访问。

RD CAP

通过RD CAP,可以指定可连接到 RD 网关服务器的用户。可以指定存在于本地 RD 网关服务器上或 Active Directory 域服务中的用户组。还可以指定用户要访问 RD 网关服务器必须满足的其他条件。可以在每个RD CAP中列出特定的条件。例如,您可能要求一组用户使用智能卡来通过 RD 网关建立连接。

重要

如果用户满足RD CAP中指定的条件,将被授予访问 RD 网关服务器的权限。您还必须创建远程桌面资源授权策略 (RD RAP)。通过RD RAP,可以指定用户可通过 RD 网关连接到的网络资源(计算机)。在创建RD CAP和RD RAP之前,用户无法通过此 RD 网关服务器连接到网络资源。

有关如何创建RD CAP的信息,请参阅管理远程桌面连接授权策略 (RD CAP)

RD RAP

通过RD RAP,可以指定远程用户可通过 RD 网关服务器连接到的内部网络资源。在创建RD RAP时,可以创建计算机组(内部网络上希望远程用户连接到的一组计算机)并将其与RD RAP关联。

如果通过 RD 网关服务器连接到内部网络的远程用户至少满足一个RD CAP和一个RD RAP中指定的条件,将被授予访问网络上的计算机的权限。

注意

将 RD 网关管理的计算机组与RD RAP关联时,可以通过将完全限定的域名 (FQDN) 和 NetBIOS 名称分别添加到 RD 网关管理的计算机组中,同时支持这两个名称。将 Active Directory 安全组与RD RAP关联时,如果客户端要连接到的内部网络计算机与 RD 网关服务器属于同一个域,将自动支持 FQDN 和 NetBIOS 名称。如果内部网络计算机与 RD 网关服务器分别属于不同的域,用户必须指定内部网络计算机的 FQDN。

有关如何创建RD RAP的信息,请参阅管理远程桌面资源授权策略 (RD RAP)

RD CAP和RD RAP相结合,提供两个不同的授权级别,使您可以为内部网络上的计算机配置更具体的访问控制级别。

与 RD RAP 关联的网络资源组和 RD 网关管理的计算机组

远程用户可以通过 RD 网关连接到安全组或 RD 网关管理的计算机组中的内部网络资源。该组可以是下列任一项目:

  • 选择 Active Directory 域服务网络资源组。网络资源组已存在于 Active Directory 域服务中。

  • 选择现有 RD 网关管理的组或创建新组。可以在安装之后通过使用远程桌面网关管理器配置 RD 网关管理的计算机组,或选择现有组。

    RD 网关管理的计算机组不会出现在 RD 网关服务器上的本地用户和组中,也无法使用本地用户和组进行配置。

  • 允许用户连接到任意网络资源。在这种情况下,用户可以连接到使用远程桌面连接时可连接的内部网络上的任何计算机。


目录