You are on page 1of 2

ntroduo s polticas de acesso remoto.

Introduo s polticas de acesso remoto


No Windows NT verses 3.5, 3.51 e 4.0, a autorizao baseava-se numa opo para conceder permisso de acesso telefnico ao utilizador existente no utilitrio User Manager ou Remote Access Admin. Um utilizador individual configurava opes de chamada de retorno. Para o servio de Encaminhamento e Acesso Remoto e o Servio de Autenticao da Internet (IAS, Internet Authentication Service) no Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition e Windows 2000, a autorizao de acesso rede concedida com base nas propriedades de acesso telefnico da conta de utilizador e nas polticas de acesso remoto. As polticas de acesso remoto so um conjunto ordenado de regras que definem o modo como as ligaes so autorizadas ou rejeitadas. Para cada regra, existe uma ou mais condies, um conjunto de definies de perfil e uma definio de permisso de acesso remoto. Se uma ligao for autorizada, o perfil da poltica de acesso remoto especifica um conjunto de restries de ligao. As propriedades de acesso telefnico da conta de utilizador tambm fornecem um conjunto de restries. Quando so aplicveis, as restries de ligao da conta de utilizador substituem as restries de ligao do perfil da poltica de acesso remoto. Para obter informaes sobre restries de ligao que podem ser configuradas numa conta de utilizador, consulte Propriedades de acesso telefnico de uma conta de utilizador. Para obter informaes sobre restries de ligao que podem ser configuradas atravs de um perfil da poltica de acesso remoto, consulte Elementos de uma poltica de acesso remoto.. As polticas de acesso remoto validam um nmero de definies de ligao antes de autorizar a ligao, incluindo o seguinte:

Permisso de acesso remoto Membros de grupo Tipo de ligao Hora do dia Mtodos de autenticao Condies avanadas:

Identidade do servidor de acesso Nmero de telefone ou endereo MAC do cliente de acesso Se as propriedades de acesso telefnico da conta de utilizador so ignoradas Se o acesso no autenticado permitido

Depois de a ligao ser autorizada, as polticas de acesso remoto tambm podem ser utilizadas para especificar restries de ligao, incluindo o seguinte:

Tempo limite de inactividade Durao mxima da sesso Fora da encriptao Filtros de pacote IP Restries avanadas:

Endereo IP para ligaes PPP Rotas estticas

Adicionalmente, pode variar as restries de ligao com base nas definies seguintes:

Membros de grupo Tipo de ligao Hora do dia Mtodos de autenticao Identidade do servidor de acesso Nmero de telefone ou endereo MAC do cliente de acesso Se o acesso no autenticado permitido

Por exemplo, pode ter polticas que especifiquem duraes mximas de sesso diferentes para diferentes tipos de ligaes ou grupos. Para alm disso, pode especificar acesso restrito para parceiros comerciais ou ligaes no autenticadas.

Autorizar o acesso
Existem duas formas de utilizar as polticas de acesso remoto para conceder autorizao:

1. 2.

Atravs do utilizador Atravs do grupo

Autorizao atravs do utilizador


Se estiver a gerir a autorizao atravs do utilizador, defina a permisso de acesso remoto na conta do computador ou do utilizador como Conceder acesso ouNegar acesso e, opcionalmente, crie diferentes polticas de acesso remoto com base em diferentes tipos de ligaes. Por exemplo, poder pretender ter uma poltica de acesso remoto utilizada para ligaes de acesso telefnico e uma poltica de acesso remoto diferente utilizada para ligaes sem fios. Gerir a autorizao atravs do utilizador s recomendado quando tem um pequeno nmero de contas de utilizador ou de computador para gerir. Se estiver a gerir a autorizao atravs do utilizador, o processo bsico para autorizar uma tentativa de ligao ocorre da seguinte forma:

Se a tentativa de ligao corresponder a todas as condies da poltica, verifique a definio da permisso de acesso remoto da conta.

Se a permisso de acesso remoto estiver definida como Conceder acesso, aplique as definies de ligao do perfil de

poltica e de conta de utilizador. Se a permisso de acesso remoto estiver definida como Negar acesso, rejeite a tentativa de ligao.

Se a tentativa de ligao no corresponder a todas as condies da poltica, processe a poltica de acesso remoto seguinte.

Se a tentativa de ligao no corresponder a todas as condies de qualquer poltica de acesso remoto, rejeite a tentativa de ligao.

Autorizao atravs do grupo


Se estiver a gerir a autorizao atravs do grupo, defina a permisso de acesso remoto na conta de utilizador como Controlar acesso atravs de Poltica de Acesso Remoto e crie polticas de acesso remoto baseadas em diferentes tipos de ligaes e membros do grupo. Por exemplo, poder pretender ter uma poltica de acesso remoto para ligaes de acesso telefnico para empregados (membros do grupo Empregados) e uma poltica de acesso remoto diferente para ligaes de acesso telefnico para contratados (membros do grupo Contratados). Se estiver a gerir a autorizao atravs do grupo, o processo bsico para autorizar uma tentativa de ligao ocorre da seguinte forma:

Se a tentativa de ligao corresponder a todas as condies da poltica, verifique a permisso de acesso remoto da poltica de acesso remoto.

Se a permisso de acesso remoto estiver definida como Conceder permisso de acesso remoto, aplique as definies de

ligao do perfil de poltica e de conta de utilizador. Se a permisso de acesso remoto estiver definida como Negar permisso de acesso remoto, rejeite a tentativa de ligao.

Se a tentativa de ligao no corresponder a todas as condies da poltica, processe a poltica de acesso remoto seguinte.

Se a tentativa de ligao no corresponder a todas as condies de qualquer poltica de acesso remoto, rejeite a tentativa de ligao. Notas

No recomendvel definir a permisso de acesso remoto nas contas de utilizador como Controlar acesso atravs de Poltica de Acesso Remoto sem utilizar grupos para gerir o acesso rede. Para mais informaes sobre como as tentativas de ligao so processadas, consulte Exemplos de Polticas de Acesso Remoto

Polticas de acesso remoto e o servio de 'Encaminhamento e acesso remoto'


Para os servidores que executam o servio de Encaminhamento e Acesso Remoto configurados para o fornecedor de autenticao do Windows, as polticas de acesso remoto so administradas a partir do Encaminhamento e Acesso Remoto e aplicadas apenas s ligaes do servidor do servio de Encaminhamento e Acesso Remoto. Para os servidores que executam o servio de Encaminhamento e acesso remoto configurados para o fornecedor de autenticao RADIUS, no possvel configurar as polticas de acesso remoto utilizando o Encaminhamento e acesso remoto. Se o servidor de RADIUS for um servidor de IAS, as polticas de acesso remoto so administradas a partir do Servio de autenticao da Internet. Para gerir centralmente um conjunto nico de polticas de acesso remoto para vrios servidores de acesso remoto ou VPN utilizando um servidor IAS, dever efectuar o seguinte procedimento:

1. 2. 3. 4.

Instale o Servio de autenticao da Internet (IAS) como um servidor de Servio de utilizador de ligao telefnica por autenticao remota (RADIUS, Remote Authentication Dial-in User Service). Para mais informaes, consulte Lista de verificao: Configurar o IAS para acesso telefnico e acesso VPN Configure o IAS com clientes RADIUS que correspondam a cada um dos servidores de acesso remoto ou VPN do Windows Server 2003, Standard Edition, do Windows Server 2003, Enterprise Edition ou do Windows Server 2003, Datacenter Edition. Para mais informaes, consulte Adicionar clientes RADIUS. No servidor IAS, crie o conjunto central de polticas que ser utilizado por todos os servidores que executam o servio de Encaminhamento e Acesso Remoto. Para mais informaes, consulte Adicionar uma poltica de acesso remoto. Configure cada um dos servidores com o servio de Encaminhamento e Acesso Remoto como clientes RADIUS para o servidor de IAS. Para mais informaes, consulte Utilizar a autenticao RADIUS.

Para mais informaes sobre como implementar o IAS para uma gesto centralizada da poltica de acesso remoto, consulte Utilizar RADIUS para vrios servidores de acesso remoto. A gesto centralizada de polticas de acesso remoto tambm utilizada quando existem servidores de acesso remoto a executar o Windows NT 4.0 e o Servio de Encaminhamento e Acesso Remoto (RRAS, Routing and Remote Access Service). possvel configurar este servidor como um cliente RADIUS para um servidor IAS. No entanto, um servidor de acesso remoto que esteja a executar o Windows NT 4.0 sem o RRAS no pode ser configurado para utilizar polticas de acesso remoto centralizadas.