Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen und Einstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchen Umständen eine Verbindung mit dem Netzwerk herstellen dürfen. Wenn Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) bereitstellen, werden der Netzwerkrichtlinienkonfiguration Integritätsrichtlinien hinzugefügt, damit während des Autorisierungsvorgangs vom Netzwerkrichtlinienserver (Network Policy Server, NPS) Clientintegritätsprüfungen ausgeführt werden.

Beim Verarbeiten von Verbindungsanforderungen als RADIUS-Server (Remote Authentication Dial-In User Service) wird vom Netzwerkrichtlinienserver die Authentifizierung und Autorisierung für die Verbindungsanforderung ausgeführt. Während des Authentifizierungsvorgangs überprüft NPS die Identität des Benutzers oder Computers, der eine Verbindung mit dem Netzwerk herstellt. Während des Autorisierungsvorgangs bestimmt NPS, ob der Benutzer oder Computer auf das Netzwerk zugreifen darf.

Dabei werden Netzwerkrichtlinien verwendet, die im MMC-Snap-In (Microsoft Management Console) Netzwerkrichtlinienserver konfiguriert sind. Außerdem werden vom Netzwerkrichtlinienserver bei der Ausführung der Autorisierung die Einwähleigenschaften des Benutzerkontos in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) überprüft.

Hinweis

Im Internetauthentifizierungsdienst (Internet Authentication Service, IAS) der Betriebssysteme der Windows Server® 2003-Produktfamilie wurden Netzwerkrichtlinien als RAS-Richtlinien bezeichnet.

Netzwerkrichtlinien können als Regeln betrachtet werden. Jede Regel weist eine Reihe von Bedingungen und Einstellungen auf. NPS vergleicht die Bedingungen der Regel mit den Eigenschaften von Verbindungsanforderungen. Wenn eine Übereinstimmung zwischen der Regel und der Verbindungsanforderung vorliegt, werden die in der Regel definierten Einstellungen auf die Verbindung angewendet.

Wenn in NPS mehrere Netzwerkrichtlinien konfiguriert sind, handelt es sich um einen geordneten Regelsatz. NPS überprüft jede Verbindungsanforderung mit der ersten Regel in der Liste, dann mit der zweiten Regel usw., bis eine Übereinstimmung gefunden wird.

Jede Netzwerkrichtlinie weist die Einstellung Richtlinienstatus auf, mit der Sie die Richtlinie aktivieren bzw. deaktivieren können. Wenn Sie eine Netzwerkrichtlinie deaktivieren, wird die Richtlinie beim Autorisieren von Verbindungsanforderungen von NPS nicht ausgewertet.

Wichtig

Falls NPS beim Ausführen der Autorisierung für Verbindungsanforderungen eine Netzwerkrichtlinie auswerten soll, müssen Sie die Einstellung Richtlinienstatus konfigurieren, indem Sie das Kontrollkästchen Richtlinie aktiviert aktivieren.

Eigenschaften von Netzwerkrichtlinien

Pro Netzwerkrichtlinie gibt es vier verschiedene Eigenschaftskategorien:

  • Übersicht

    Mithilfe dieser Eigenschaften können Sie angeben, ob die Richtlinie aktiviert ist, ob mit der Richtlinie der Zugriff gewährt oder verweigert wird und ob eine bestimmte Netzwerkverbindungsmethode oder ein bestimmter Typ von Netzwerkzugriffsserver für Verbindungsanforderungen erforderlich ist. Mit Übersichtseigenschaften können Sie außerdem angeben, ob die Einwähleigenschaften von Benutzerkonten in AD DS ignoriert werden. Wenn Sie diese Option auswählen, bestimmt NPS nur anhand der Einstellungen in der Netzwerkrichtlinie, ob die Verbindung autorisiert wird.

  • Bedingungen

    Mit diesen Eigenschaften können Sie die Bedingungen angeben, die die Verbindungsanforderung aufweisen muss, damit eine Übereinstimmung mit der Netzwerkrichtlinie vorliegt. Falls die in der Richtlinie konfigurierten Bedingungen mit der Verbindungsanforderung übereinstimmen, wendet NPS die in der Netzwerkrichtlinie festgelegten Einstellungen auf die Verbindung an. Beispiel: Sie geben die NAS-IPv4-Adresse als Bedingung der Netzwerkrichtlinie an, und der Netzwerkrichtlinienserver empfängt eine Verbindungsanforderung von einem Netzwerkzugriffsserver, der die angegebene IP-Adresse aufweist. In diesem Fall stimmt die Bedingung in der Richtlinie mit der Verbindungsanforderung überein.

  • Einschränkungen

    Einschränkungen sind zusätzliche Parameter der Netzwerkrichtlinie, die für eine Übereinstimmung der Verbindungsanforderung erforderlich sind. Wenn eine Einschränkung nicht mit der Verbindungsanforderung übereinstimmt, wird die Anforderung automatisch von NPS abgelehnt. Im Gegensatz zur NPS-Antwort auf nicht übereinstimmende Bedingungen in der Netzwerkrichtlinie wird bei einer Nichtübereinstimmung einer Einschränkung die Verbindungsanforderung vom Netzwerkrichtlinienserver ohne Auswertung zusätzlicher Netzwerkrichtlinien verweigert.

  • Einstellungen

    Mithilfe dieser Eigenschaften können Sie die Einstellungen angeben, die NPS auf die Verbindungsanforderung anwendet, falls alle Netzwerkrichtlinienbedingungen für die Richtlinie übereinstimmen.

Wenn Sie mit dem MMC-Snap-In Netzwerkrichtlinienserver eine neue Netzwerkrichtlinie hinzufügen, müssen Sie den Assistenten für neue Netzwerkrichtlinien verwenden. Nachdem Sie mit diesem Assistenten eine Netzwerkrichtlinie erstellt haben, können Sie diese anpassen, indem Sie im Snap-In Netzwerkrichtlinienserver auf die Richtlinie doppelklicken, um die Richtlinieneigenschaften anzuzeigen.


Inhaltsverzeichnis