Åtkomstbehörighet

Åtkomstbehörigheterna anges på fliken Översikt i varje nätverksprincip i NPS (Network Policy Server). Du kan antingen bevilja eller neka användare åtkomst om villkoren för nätverksprincipen matchar anslutningsbegäran. Så här fungerar inställningarna för åtkomstbehörighet:

• Bevilja åtkomst. Åtkomst beviljas om anslutningsbegäran matchar villkoren och begränsningarna i principen.
  
  
• Neka åtkomst. Åtkomst nekas om anslutningsbegäran matchar villkoren och begränsningarna i principen.
  
  

Åtkomstbehörighet beviljas eller nekas också baserat på fjärranslutningsegenskaperna för varje användarkonto.

	OBS
	Användarkonton och tillhörande egenskaper, t.ex. fjärranslutningsegenskaper, konfigureras antingen i Active Directory - användare och datorer eller i snapin-modulen Lokala användare och grupper i Microsoft Management Console (MMC), beroende på om Active Directory Domain Services (AD DS) är installerat eller inte.

Inställningen Behörighet till nätverksåtkomst, som konfigureras i fjärranslutningsegenskaperna för användarkontona, åsidosätter behörighetsinställningen i nätverksprincipen. Om åtkomstinställningen Kontrollera åtkomst genom NPS-nätverksprinciper används för ett användarkonto avgör nätverksprincipens behörighetsinställning om användaren beviljas eller nekas åtkomst.

När NPS utvärderar anslutningsbegäranden enligt inställda nätverksprinciper utförs följande åtgärder:

• Om villkoren i den första principen inte matchas utvärderas nästa princip och så vidare tills en matchning hittas eller tills alla principer har utvärderats.
  
  
• Om villkoren och begränsningarna i en princip matchas så beviljas eller nekas åtkomsten beroende på värdet på inställningen Åtkomstbehörighet i principen.
  
  
• Om villkoren i en princip matchas, men begränsningarna i principen inte matchas så avvisas anslutningsbegäran.
  
  
• Om inte villkoren i alla principer matchas så avvisas anslutningsbegäran.
  
  

Du kan konfigurera NPS-nätverksprinciper så att fjärranslutningsegenskaperna för användarkonton ignoreras genom att markera eller avmarkera kryssrutan Ignorera användarkontots fjärranslutningsegenskaper på fliken Översikt i nätverksprincipen. Normalt sett kontrolleras fjärranslutningsegenskaperna för användarkontot när NPS auktoriserar en anslutningsbegäran, och värdet på behörighetsinställningen för nätverksåtkomst avgör om användaren beviljas eller nekas åtkomst till nätverket. Om du konfigurerar NPS så att fjärranslutningsinställningarna för användarkonton ignoreras under auktoriseringsprocessen så avgör nätverksprincipinställningarna om användaren beviljas åtkomst till nätverket eller inte.

Fjärranslutningsegenskaperna för användarkonton inkluderar följande:

• Åtkomstbehörighet till nätverket
  
  
• Uppringarens ID
  
  
• Motringningsalternativ
  
  
• Statisk IP-adress
  
  
• Statiska vägar
  
  

För att flera typer av anslutningar som autentiseras och auktoriseras av NPS ska accepteras kan du behöva inaktivera användningen av fjärranslutningsegenskaper för användarkonton. Detta kan konfigureras för specifika scenarier där vissa fjärranslutningsegenskaper inte krävs.

Egenskaper som uppringarens ID, motringningsalternativ, statisk IP-adress och statiska vägar är exempelvis utformade för klientdatorer som ringer upp en nätverksåtkomstserver (NAS), inte för klienter som ansluter till trådlösa åtkomstpunkter. En trådlös åtkomstpunkt som mottar dessa inställningar i ett RADIUS-meddelande från NPS kanske inte kan bearbeta dem, vilket kan leda till att den trådlösa klienten kopplas från.

Om NPS autentiserar och auktoriserar användare som ansluter till organisationens nätverk både via fjärranslutningar och via trådlösa åtkomstpunkter så måste fjärranslutningsegenskaperna konfigureras antingen för fjärråtkomstanslutningar (genom att ange fjärranslutningsegenskaper) eller för trådlösa anslutningar (genom att inte ange fjärranslutningsegenskaper).

Du kan konfigurera NPS så att fjärranslutningsegenskaperna för ett användarkonto aktiveras i vissa scenarier (t.ex. vid fjärranslutning) och inaktiveras i andra (t.ex. trådlös 802.1X och autentiseringsväxel).

Du kan också använda alternativet Ignorera användarkontots fjärranslutningsegenskaper för att hantera åtkomsten till nätverket baserat på grupper och på inställningen för åtkomstbehörighet i nätverksprincipen. Om du markerar kryssrutan Ignorera användarkontots fjärranslutningsegenskaper ignoreras användarkontots nätverksåtkomstbehörighet.

Den enda nackdelen med den här konfigurationen är att du inte kan använda de andra fjärranslutningsegenskaperna för användarkonton, d.v.s. uppringarens ID, motringningsalternativ, statisk IP-adress och statiska vägar.