ISA防火墻中的VPN服務依賴于Windows server系統中的路由和遠程訪問服務（RRAS），對于用戶的遠程撥入授權，ISA防火墻使用和RRAS相同的方式。

當某個用戶發起VPN連接時，只有在滿足以下兩個條件之一時，ISA防火墻允許該用戶的VPN撥入：

• 用戶賬戶屬性的撥入標簽中顯式允許此用戶的遠程訪問權限 （允許訪問）；

• 用戶賬戶屬性的撥入標簽中設置此用戶通過遠程訪問策略控制訪問，但是具有匹配的遠程訪問策略（RAP）授予此用戶撥入權限。

　 要滿足第一個條件非常簡單，你可以在相應用戶的賬戶屬性的撥入標簽中簡單的選擇允許訪問即可，如下圖所示：

　 而第二個條件稍微有些復雜。默認情況下，不屬于域的Windows server系統和具有域功能級為Windows 2000 native或者Windows server 2003的活動目錄會將用戶的撥入權限設置為通過遠程訪問策略控制訪問，但是未提升域功能級的活動目錄如Windows 2000 mix會將用戶的撥入權限設置為拒絕訪問，并且通過遠程訪問策略控制訪問選項不可用，你需要提升域功能級為Windows 2000 native或者Windows server 2003后才能使用此選項。

在ISA防火墻啟用VPN服務時，會在RRAS的遠程訪問策略中創建一個名為ISA服務器默認策略的RAP，

它的內容非常簡單，就是拒絕任何時間的VPN訪問的遠程訪問權限，如下圖所示。每次ISA防火墻啟動時，會使用自己的配置覆蓋RRAS中ISA服務器默認策略的設置，并且確保此ISA服務器默認策略為RAP列表中的第一位，因此，默認情況下，除了在訪問權限中顯式允許遠程撥入的用戶，其他用戶不能撥入VPN。

ISA防火墻中唯一可以修改ISA服務器默認策略的位置就是在配置VPN客戶端訪問中的組標簽，

在這個地方你選擇允許撥入VPN的域用戶組后，ISA防火墻會修改ISA服務器默認策略為當Windows組屬性匹配你選擇的域用戶組時，授予用戶遠程訪問權限，如下圖所示：

　 但是ISA防火墻中的組設置只對域環境有效。對于非域環境，你不能添加本地計算機上的內建用戶組，如Administrators、Power users、Users等等，因為ISA防火墻無法區分內建用戶組和域用戶組，詳情請參見KB891240，You cannot add some local built-in groups when you configure VPN client access in Internet Security and Acceleration Server 2004。

你可以手動對ISA服務器默認策略進行修改，但是每次ISA防火墻啟動時，同樣會使用自己的配置覆蓋RRAS中ISA服務器默認策略的配置；如果此RAP不存在（被刪除），則只有在ISA管理控制臺中修改VPN屬性中的組設置時ISA防火墻才會重新創建此RAP。

因此，對于非域環境下的用戶遠程撥入授權，你只能通過在用戶賬戶撥入屬性中顯式允許用戶遠程訪問進行；而對于域環境下的用戶遠程撥入授權，除了在用戶賬戶撥入屬性中顯式允許用戶遠程訪問外，你還可以通過在ISA防火墻管理控制臺中修改VPN屬性允許域用戶組訪問進行。

最后還有一點，在域環境下為了讓ISA防火墻讀取域用戶的撥入權限設置，你必須將ISA防火墻計算機加入到域的RAS and IAS Servers域本地安全組中，如下圖所示：

你可以在Active Directory用戶和計算機管理控制臺中手動添加，也可以通過在ISA服務器上運行以下命令來添加： Netsh ras add registeredserver