定義遠端 VPN 用戶端

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題描述如何設定使用者和群組進行遠端 VPN 存取。定義遠端 VPN 用戶端包含下列步驟:

請注意,您要在 Microsoft Management Console 的 [電腦管理] 中設定群組與使用者。

建立使用者和群組

  1. 依序按一下 [開始][執行],輸入 compmgmt.msc,然後按下 ENTER。

  2. [電腦管理] 視窗中,按一下 [本機使用者和群組],在 [群組] 上按一下滑鼠右鍵,然後選取 [新群組]

  3. [新群組] 中,輸入該群組的名稱,再按一下 [建立],然後按一下[關閉]

  4. 按一下 [使用者]。對於要其擁有遠端 VPN 存取權限的每一位使用者,請執行下列動作:

    1. 按兩下使用者以顯示其內容。

    2. 請在 [成員隸屬] 索引標籤上,按一下 [新增]

    3. [輸入物件名稱來選取] 中,輸入群組的名稱,然後按一下 [確定]

    4. [撥入] 索引標籤上,選擇 [透過遠端存取原則來控制存取],再按一下 [確定]

Important重要事項:
只有設定撥入內容的使用者,才能使用 Forefront TMG 來進行遠端 VPN 用戶端存取。

note附註:
當您設定 VPN 用戶端存取以指定具有遠端存取權的本機群組,您只能新增以下群組:

  • HelpServicesGroup

  • IIS_WPG

  • TelnetClients

您不能新增其他本機內建群組,例如 Administrators、Backup Operators 或 Power Users。這些本機群組是一般性的,而且 Forefront TMG 無法分辦本機系統管理員及網域系統管理員。

note附註:
在原生模式的 Active Directory 網域中,網域帳戶預設由遠端存取原則控制撥入存取權。在非原生模式的 (混合) Active Directory 網域中,您必須對每個需要 VPN 存取權的網域使用者帳戶,啟用撥入存取權。針對每個帳戶,選取 [撥入] 索引標籤上的 [允許存取]

使用下列程序以允許網域群組的成員遠端存取 VPN。

允許網域群組的成員進行遠端存取

  1. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [遠端存取原則 (VPN)] 節點。

  2. 在詳細資料窗格中,按一下 [VPN 用戶端] 索引標籤。

  3. [工作] 索引標籤中,按一下 [設定 VPN 用戶端存取]

  4. [群組] 索引標籤上,按一下 [新增]

  5. 輸入可存取 VPN 用戶端網路之使用者或群組的名稱。

使用下列程序確認適用於 Windows 使用者和群組之使用者組的防火牆原則存取規則也適用於透過 RADIUS 或 EAP 向網路進行 VPN 用戶端驗證。若要這樣做,您必須啟用使用者對應。

啟用使用者對應

  1. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [遠端存取原則 (VPN)] 節點。

  2. 在詳細資料窗格中,按一下 [VPN 用戶端] 索引標籤。

  3. 在 [工作] 索引標籤中,按一下 [設定 VPN 用戶端存取]

  4. [使用者對應] 索引標籤上,按一下 [啟用使用者對應]

  5. 如果要對應的使用者名稱不包含網域名稱,請選擇 [當使用者名稱不含有網域時,使用這個網域],然後輸入要使用之網域的名稱。

note附註:
  • 如果 RADIUS 伺服器與 Forefront TMG 位於不同的網域 (或者其中一個位於工作群組中),則只有密碼驗證通訊協定驗證支援使用者對應。若已設定其他任何驗證方法,則請勿使用使用者對應。

  • 只有在 Forefront TMG 安裝於網域上時,才可以使用使用者對應。在工作群組環境中,請勿啟用使用者對應。

  • 只有當您建立群組型防火牆原則時,才需要使用者對應功能。若要建立使用者型原則,您可以改用 RADIUS 名稱區來定義使用者組。

 
顯示: