配置遠程訪問策略
對于由用戶訪問的管理模型，由于一些用戶需要建立 VPN 連接，因此您需要將這些用戶帳戶的遠程訪問權限設置為“允許訪問”。對于由策略訪問的模型，請對用戶帳戶的遠程訪問權限做適當的更改。詳細信息，請參閱遠程訪問策略簡介。
要區分撥號遠程訪問用戶與 VPN 遠程訪問用戶，請進行以下操作：
1. 創建 Active Directory 組，其成員可創建能連接到 VPN 服務器的虛擬專用網連接。例如，VPN_Users。
2. 在該新的 Active Directory 組中添加適當的用戶帳戶。
3. 創建具有下列屬性的新的遠程訪問策略：
將“策略名稱”設置為“如果是 VPN_Users 成員則進行 VPN 訪問”（示例）。
對于條件，將 Windows-Groups 條件設置為“VPN_Users”（示例），將 NAS-Port-Type 條件設置為“Virtual (VPN)”，并將 Tunnel-Type 條件設置為“Layer Two Tunneling Protocol”。
選定“授予遠程訪問權限”選項。
4. 將默認的遠程訪問策略移至新策略之后。
默認的加密設置允許沒有加密，也允許所有級別的加密強度。如果需要加密，請清除遠程訪問策略配置文件中“加密”選項卡上的“無加密”選項，并選定適當的加密強度。有以下加密強度：
基本
此選項使用 56 位 DES 加密。
增強
此選項使用 56 位 DES 加密。
最強
此選項使用三級 DES (3DES) 加密。