配置远程访问策略
对于由用户访问的管理模型，由于一些用户需要建立 VPN 连接，因此您需要将这些用户帐户的远程访问权限设置为“允许访问”。对于由策略访问的模型，请对用户帐户的远程访问权限做适当的更改。详细信息，请参阅远程访问策略简介。
要区分拨号远程访问用户与 VPN 远程访问用户，请进行以下操作：
1. 创建 Active Directory 组，其成员可创建能连接到 VPN 服务器的虚拟专用网连接。例如，VPN_Users。
2. 在该新的 Active Directory 组中添加适当的用户帐户。
3. 创建具有下列属性的新的远程访问策略：
将“策略名称”设置为“如果是 VPN_Users 成员则进行 VPN 访问”（示例）。
对于条件，将 Windows-Groups 条件设置为“VPN_Users”（示例），将 NAS-Port-Type 条件设置为“Virtual (VPN)”，并将 Tunnel-Type 条件设置为“Layer Two Tunneling Protocol”。
选定“授予远程访问权限”选项。
4. 将默认的远程访问策略移至新策略之后。
默认的加密设置允许没有加密，也允许所有级别的加密强度。如果需要加密，请清除远程访问策略配置文件中“加密”选项卡上的“无加密”选项，并选定适当的加密强度。有以下加密强度：
基本
此选项使用 56 位 DES 加密。
增强
此选项使用 56 位 DES 加密。
最强
此选项使用三级 DES (3DES) 加密。