Справочник по Windows Server 2003 (MCSE)
Процедура аутентификации удаленного доступа
Аутентификация пользователей, подключающихся к серверу удаленного доступа под управлением Windows Server 2003, выполняется по следующему сценарию:
1. Клиент удаленного доступа инициирует процесс подключения к серверу удаленного доступа (например, набирает его телефонный номер).
2. Происходит физическое соединение (например, двух модемов).
3. Сервер отправляет запрос клиенту с требованием предоставить информацию о полномочиях подключающегося пользователя.
4. Клиент отправляет ответ серверу, в который включает запрашиваемую информацию. В зависимости от используемого протокола аутентификации, ответ пересылается по сети либо в открытом, либо в зашифрованном виде.
5. Сервер проверяет информацию, содержащуюся в ответе, обращаясь к каталогу Active Directory. В случае автономного сервера удаленного доступа для проверки полномочий пользователя используется локальная база данных учетных записей сервера.
6. Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.
7. Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении.
Процесс аутентификации предполагает проверку подлинности пользователя. Тем не менее, сам факт успешного прохождения процедуры аутентификации не означает, что пользователь автоматически получает доступ к корпоративной сети. После аутентификации удаленного пользователя и подключения клиента к корпоративной сети клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим принципам разграничения доступа Windows Server 2003 точно так же, как если бы они физически располагались в локальной сети. Другими словами, клиенты удаленного доступа не могут выполнять какие-либо действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.
Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.
