none
Взяимосвязь между CAP и RAP в Remote Desktop Gateway RRS feed

  • Вопрос

  • Коллеги, приветствую.

    Непонятна мне взаимосвязь между CAP и RAP.

    Допустим есть пользователи user и it_user. Есть группа UserGroup, в ней только user. Есть группа IT_UserGroup, в ней только it_user.

    Создана CAP "UserAccess", она разрешает подключения для группы UserGroup.

    Создана RAP "AdminsToAll", она разрешает группе IT_UserGroup подключаться к любым ресурсам сети.

    Я планировал, что это будет работать так: пользователь подключается через шлюз и при авторизации на шлюзе указывает учетные данные user, далее при авторизации в RDP сессии пользователь уже указывает учетные данные it_user.

    Т.е. я не хочу, что бы админы авторизовались на шлюзе под своими it учетками.

    Но по факту, так не получается.

    Что не так делаю? Или я чего-то не понимаю?


    26 апреля 2017 г. 7:13

Ответы

  • Пользователь аутентифицируется на шлюзе как user, поэтому шлюз проверяет возможность доступа к терминальным серверам по RAP именно для учётной записи user, которая в группу IT_UserGroup не входит, а потому доступ к терминальным серверам через шлюз не получает.

    А аутентификация на терминальном сервере - это уже следующий этап, после того, как шлюз на него пропустит.


    Слава России!

    27 апреля 2017 г. 7:04

Все ответы

  • Привет,

    Попробуйте проверить Ваши настройки по статье внизу:

    How to configure RD CAPs and RAPs - Step by step with screenshots


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.


    27 апреля 2017 г. 5:54
    Модератор
  • Пользователь аутентифицируется на шлюзе как user, поэтому шлюз проверяет возможность доступа к терминальным серверам по RAP именно для учётной записи user, которая в группу IT_UserGroup не входит, а потому доступ к терминальным серверам через шлюз не получает.

    А аутентификация на терминальном сервере - это уже следующий этап, после того, как шлюз на него пропустит.


    Слава России!

    27 апреля 2017 г. 7:04