我已經正確設定了 Windows 服務角色 VPN。下一步是限制 VPN 會話使用者帳戶的存取。應拒絕客戶端查看某些資料夾(例如:系統資料夾、程式檔案、使用者設定檔),而應允許某些資料夾。這次我不打算使用 Active Directory,它未啟用。
是否可以選擇具有完全控製或修改為經過身份驗證的使用者的所有資料夾共用和 ntfs(安全性標籤)權限,除了我選擇授予 VPN 連接 Windows 標準使用者帳戶存取權限的權限。或者反過來呢?
並從那些對 Authenticated Users 群組具有共用和 ntfs 權限的資料夾中刪除 Users 群組?
答案1
也許。
請記住,如果沒有AD 全域安全性,您嘗試使用檔案ACL 進行控制的任何內容都只能在實現VPN 的一台伺服器上起作用,即,如果沒有AD,您只有本機帳戶用於VPN 驗證和您希望設定的檔案ACL。
AD可能值得考慮這一點...
因此,只要 VPN 和文件伺服器是同一台機器 - 您就可以通過這種方式進行處理,但最大的技巧是鎖定對所有內容的訪問,然後才打開對您希望 VPN 有權訪問的內容的訪問(即,還需要考慮「遍歷目錄」等非ACL 安全設定。
可以在此處找到用於規劃此類 PN 的高級清單: https://technet.microsoft.com/en-us/library/cc725734(v=ws.10).aspx