Modelos administrativos de directivas de acceso remoto

En Windows 2000, hay tres modelos principales para administrar los permisos de acceso remoto y las cadenas de conexión:

1. Acceso por usuario.
2. Acceso por directiva en un dominio de Windows 2000 en modo nativo
3. Acceso por directiva en un dominio de Windows 2000 en modo mixto

 Note

• Este tema describe cómo utilizar las directivas de acceso remoto para conceder o denegar permisos de acceso remoto. Para obtener información acerca de cómo administrar las directivas de acceso remoto, consulte Administración de directivas local frente a centralizada

Acceso por usuario

En el modelo administrativo de acceso por usuario, los permisos de acceso remoto se determinan mediante el permiso de acceso remoto de la ficha Acceso telefónico de la cuenta de usuario. El permiso de acceso remoto se habilita o deshabilita para cada usuario al establecer el permiso de acceso remoto en Permitir acceso o Denegar acceso.

La configuración del permiso de acceso remoto de la directiva de acceso remoto se suplanta, de hecho, si el permiso de acceso remoto del usuario está establecido en Permitir acceso o Denegar acceso. No obstante, las condiciones de las directivas de acceso remoto y las propiedades del perfil se pueden modificar para exigir la configuración de la conexión, como los requisitos de cifrado y los fines de tiempo de espera.

El acceso remoto de cada usuario se puede administrar con varias directivas de acceso remoto. Cada directiva de acceso remoto tiene su propia configuración de perfiles. Esta configuración debe establecerse cuidadosamente porque, en caso contrario, podría rechazarse un intento de conexión que tenga el permiso de acceso remoto de la cuenta de usuario establecido en Permitir acceso. Si un intento de conexión cumple las condiciones de una directiva pero no coincide con la configuración del perfil o no coincide con ninguna de las directivas de acceso remoto, el intento de conexión se rechaza.

En el modelo administrativo de acceso por usuario, se pueden controlar tres comportamientos:

1. Permitir explícito

El permiso de acceso remoto de la cuenta de usuario se establece en Permitir acceso y el intento de conexión cumple las condiciones de una directiva dependiendo de la configuración del perfil y de las propiedades del acceso telefónico de la cuenta de usuario.

2. Denegar explícito

El permiso de acceso remoto de la cuenta de usuario se establece en Denegar acceso.

3. Denegar implícito

El intento de conexión no cumple las condiciones de ninguna directiva de acceso remoto.

En Windows 2000, el modelo administrativo de acceso por usuario equivale a administrar accesos remotos en un servidor RAS de Windows NT 4.0.

Para obtener ejemplos de cómo administrar el acceso remoto mediante el modelo administrativo de acceso por usuario, consulte Acceso por usuario y Casos de VPN

 Note

• El modelo administrativo de acceso por usuario se puede utilizar en un servidor de acceso remoto independiente, un servidor de acceso remoto que sea miembro de un dominio de modo nativo de Windows 2000, un servidor de acceso remoto que sea miembro de un dominio de modo mixto de Windows 2000 o un servidor de acceso remoto que pertenezca a un dominio de Windows NT 4.0.
• Puede utilizar el modelo administrativo de acceso por usuario si emplea servidores RAS o IAS de Windows NT 4.0.

Acceso por directiva en un dominio de modo nativo de Windows 2000

En el modelo administrativo de acceso por directiva de un dominio de modo nativo de Windows 2000, el permiso de acceso remoto de cada cuenta de usuario se establece en Controlar acceso a través de la directiva de acceso remoto y los permisos de acceso remoto se determinan mediante la configuración del permiso de acceso remoto en la directiva de acceso remoto. Por lo tanto, la configuración del permiso de acceso remoto de una directiva de acceso remoto determina si el permiso de acceso remoto se concede o se deniega.

En el modelo administrativo de acceso por directiva de un dominio de modo nativo de Windows 2000, se pueden controlar tres comportamientos:

1. Permitir explícito

El permiso de acceso remoto de la directiva de acceso remoto se establece en Conceder permiso de acceso remoto y el intento de conexión cumple las condiciones de una directiva dependiendo de la configuración del perfil y de las propiedades de acceso telefónico de la cuenta de usuario.

2. Denegar explícito

El permiso de acceso remoto de la directiva de acceso remoto se establece en Denegar permiso de acceso remoto y el intento de conexión cumple las condiciones de la directiva.

3. Denegar implícito

El intento de conexión no cumple las condiciones de ninguna directiva de acceso remoto.

Para obtener ejemplos de cómo administrar accesos remotos mediante el modelo administrativo de acceso por directiva para un dominio de modo nativo de Windows 2000, consulte Acceso por directiva en un dominio de modo nativo de Windows 2000

 Note

• Si utiliza este modelo administrativo y no agrega ninguna directiva de acceso remoto y no cambia la directiva de acceso remoto predeterminada (denominada Permitir el acceso si está habilitado el permiso de acceso telefónico), ningún usuario podrá obtener acceso remoto. De forma predeterminada, el permiso de acceso remoto de la directiva de acceso remoto predeterminada está establecido en Denegar permiso de acceso remoto. Si cambia la configuración a Conceder permiso de acceso remoto, todos los usuarios tendrán permiso de acceso remoto.
• El modelo administrativo de acceso por directiva de un dominio de modo nativo de Windows 2000 se aplica también a los servidores de acceso remoto independientes que no son miembros de un dominio.
• Si tiene servidores RAS o IAS de Windows NT 4.0, no podrá utilizar el modelo administrativo de acceso por directiva para un dominio de modo nativo de Windows 2000.
• Si utiliza el modelo administrativo de acceso por directiva para un dominio de modo nativo de Windows 2000 y no utiliza grupos para especificar qué usuarios obtienen acceso, compruebe que la cuenta Invitado está desactivada y su permiso de acceso remoto está establecido en Denegar acceso.

Acceso por directiva en un dominio de modo mixto de Windows 2000

En el modelo administrativo de acceso por directiva de un dominio de modo mixto de Windows 2000, el permiso de acceso remoto de cada cuenta de usuario se establece en Permitir acceso, se elimina la directiva de acceso remoto predeterminada y se crean directivas de acceso remoto para definir los tipos de conexiones que están permitidos. En un servidor de acceso remoto con Windows 2000 que sea miembro de un dominio de modo mixto de Windows 2000, la opción Controlar acceso a través de una directiva de acceso remoto no está disponible para los permisos de acceso remoto de la cuenta de usuario. Si un intento de conexión cumple las condiciones de una directiva que depende de la configuración del perfil y de la conexión de acceso telefónico de la cuenta de usuario, la conexión se aceptará.

Este modelo administrativo se aplica también a un servidor de acceso remoto que ejecute Windows 2000 y sea miembro de un dominio de Windows NT 4.0.

En el modelo administrativo de acceso por directiva de un dominio de modo mixto de Windows 2000, se pueden controlar tres comportamientos:

1. Permitir explícito

El intento de conexión cumple las condiciones de una directiva que depende de la configuración del perfil y de las propiedades de acceso telefónico de la cuenta de usuario.

2. Denegar explícito

El intento de conexión cumple las condiciones de una directiva pero no la configuración del perfil. Para realizar una denegación explícita en este modelo administrativo, debe habilitar la restricción de acceso telefónico Restringir el marcado a este número y escribir un número que no corresponda a ninguno de los números de acceso telefónico utilizados por el servidor de acceso remoto. Para obtener un ejemplo, consulte Denegar conexiones a través de la pertenencia a grupos

3. Denegar implícito

El intento de conexión no cumple las condiciones de ninguna directiva de acceso remoto.

Para obtener ejemplos de cómo administrar el acceso remoto mediante el modelo administrativo de acceso por directiva para un dominio de modo mixto de Windows 2000, consulte Acceso por directiva de un dominio de modo mixto de Windows 2000

 Note

• Si no elimina la directiva de acceso remoto predeterminada denominada Permitir el acceso si está habilitado el permiso de acceso telefónico, todos los usuarios pueden obtener una conexión de acceso remoto.
• Si utiliza servidores de Servicios de enrutamiento y acceso remoto de Windows NT 4.0 (RRAS), sólo podrá emplear el acceso por directiva de un modelo administrativo de dominio de modo mixto de Windows 2000 si los servidores RRAS están configurados como clientes RADIUS para un servidor IAS de Windows 2000. Con los servidores RAS de Windows NT 4.0, no podrá utilizar el modelo administrativo de acceso por directiva para un dominio de modo mixto de Windows 2000.

 Important

• Los modelos administrativos descritos aquí son los métodos recomendados para controlar el acceso remoto. El acceso remoto se puede administrar a través de una mezcla de estos modelos. No obstante, debe hacerlo con cuidado para que se produzcan los resultados previstos. Una configuración inadecuada puede causar que se rechacen intentos de conexión cuando deberían ser aceptados y a que se acepten intentos de conexión cuando deberían ser rechazados. Para solucionar problemas de estas configuraciones complejas, puede aplicar la lógica que utiliza el servidor de acceso remoto cuando procesa los intentos de conexión. Para obtener más información, consulte Aceptar un intento de conexión