Bevor Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) zum Erzwingen von Integritätsrichtlinien auf Clientcomputern verwenden können, müssen Sie NAP-Einstellungen auf den Clientcomputern konfigurieren. Die NAP-Clientkonfigurationskonsole und die NAP-Clientkonfigurationseinstellungen der Gruppenrichtlinien-Verwaltungskonsole bieten eine grafische Benutzeroberfläche für die Konfiguration der NAP-Clienteinstellungen.

Warum muss ich NAP-Einstellungen auf Clientcomputern verwalten?

NAP verwendet Server- und Clientkomponenten. Damit die Server- und Clientkomponenten zusammenarbeiten, müssen Sie NAP-Einstellungen auf den Servern und auf den Clientcomputern konfigurieren.

Die Serverkomponenten sind zuständig für die Überprüfung der Integrität von Clientcomputern und die Angabe der für Clientcomputer verfügbaren Netzwerkressourcen.

Die Clientkomponenten sind verantwortlich für das Kompilieren von Integritätsstatusrichtlinien auf Clientcomputern, die Verwaltung des Integritätsstatus eines Clientcomputers und das Kommunizieren des Integritätsstatus eines Computers an die Serverkomponenten.

Die NAP-Clientkonfigurationskonsole erleichtert das Konfigurieren der Einstellungen für die NAP-Benutzeroberfläche, die NAP-Erzwingungsclients und die Integritätsregistrierungsstellen (Health Registration Authority, HRA) auf den Clientcomputern. Ein NAP-Erzwingungsclient ist verantwortlich für das Erzwingen von Netzwerkzugriffsbeschränkungen.

In den meisten NAP-Szenarien müssen Sie nur die Einstellungen für den NAP-Erzwingungsclient konfigurieren. Die Konfiguration der Oberflächeneinstellungen ist optional, und Sie müssen die Einstellungen für die NAP-Integritätsregistrierungsstelle nur konfigurieren, wenn Sie eine IPsec-basierte Erzwingung (Internet Protocol Security, Internetprotokollsicherheit) eingerichtet haben. Standardmäßig sind die integrierten NAP-Erzwingungsclients deaktiviert. Um Integritätsrichtlinien auf einem Clientcomputer zu erzwingen, müssen Sie mindestens einen NAP-Erzwingungsclient aktivieren.

Was kann ich mit der NAP-Clientkonfiguration tun?

An der NAP-Clientkonfigurationskonsole können Sie auf den Clientcomputern folgende Aufgaben ausführen:

  • Aktivieren und Deaktivieren von NAP-Erzwingungsclients, einschließlich der integrierten NAP-Erzwingungsclients, die mit der NAP-Plattform und NAP-Erzwingungsclients anderer Anbieter bereitgestellt werden.

  • Konfigurieren von Brandingtext und Grafiken für die NAP-Benutzeroberfläche, die auf Clientcomputern angezeigt wird.

  • Angeben, mit welchen Integritätsregistrierungsstellen-Servern Clientcomputer kommunizieren sollen.

  • Angeben der Kryptografiemechanismen, die Clientcomputer beim Kommunizieren mit Integritätsregistrierungsstellen-Servern verwenden sollen.

Sie können mit der NAP-Clientkonfiguration auch die NAP-Ablaufverfolgung aktivieren und deaktivieren, die Detailebene der in einer Protokolldatei verfolgten Daten angeben und NAP-Clienteinstellungen anhand einer XML-Konfigurationsdatei importieren und exportieren.

Wann sollte die NAP-Clientkonfiguration verwendet werden?

Die NAP-Clientkonfiguration ist eines von drei Tools, mit denen Sie NAP-Einstellungen auf Clientcomputern konfigurieren können. Abgesehen von der NAP-Clientkonfiguration können Sie NAP-Einstellungen auf lokalen Clientcomputern mithilfe der NETSH-Befehle für den NAP-Client konfigurieren. Sie können zum Konfigurieren der Gruppenrichtlinieneinstellungen der NAP-Clientkonfiguration auch die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden. Wenn Sie NAP-Clienteinstellungen in Gruppenrichtlinien konfigurieren, werden diese Einstellungen automatisch auf allen NAP-fähigen Domänenmitglieds-Clientcomputern konfiguriert, sobald die Gruppenrichtlinien aktualisiert werden.

Wichtig

Wenn Sie NAP-Clienteinstellungen in Gruppenrichtlinien konfigurieren, werden sämtliche Einstellungen ignoriert, die über das Netsh-Befehlszeilentool für den NAP-Client oder die NAP-Clientkonfigurationskonsole konfiguriert wurden.

Verwenden Sie die NAP-Clientkonfiguration auf einem lokalen Computer in den folgenden Situationen:

  • Sie möchten anstelle von NETSH-Befehlen für NAP-Clients eine grafische Benutzeroberfläche für die Konfiguration von NAP-Einstellungen auf einem lokalen Computer verwenden.

  • Ihre Organisation verwendet Gruppenrichtlinien zum Verwalten von Domänenmitglieds-Clientcomputern, und Sie möchten eine XML-Konfigurationsdatei erstellen, die Sie zum Konfigurieren der NAP-Gruppenrichtlinieneinstellungen verwenden können.

  • Sie haben eine kleine Anzahl von Computern, die benutzerdefinierte Konfigurationseinstellungen erfordern, und möchten alle Computer einzeln konfigurieren.

  • Sie möchten alle Clientcomputer genau gleich konfigurieren, können den Konfigurationsprozess aber nicht automatisieren oder mithilfe von Skripts oder Gruppenrichtlinien verwalten.

Verwenden Sie die NAP-Clienteinstellungen mit Gruppenrichtlinien, wenn Ihre Organisation Clientcomputer mithilfe von Gruppenrichtlinien verwaltet und Sie NAP-Gruppenrichtlinieneinstellungen zusammen mit diesen Gruppenrichtlinieneinstellungen auf Clientcomputer anwenden möchten.

Mit der NAP-Clientkonfiguration können nur NAP-fähige Computer konfiguriert werden. Ein Computer ist NAP-fähig, wenn die NAP-Komponenten installiert sind und die Integrität des Computers durch das Erstellen eines SoH (Statement of Health) überprüft werden kann. Computer unter Windows® 7, Windows Vista®, Windows XP Service Pack 3 (SP3), Windows Server® 2008 und Windows Server® 2008 R2 sind NAP-fähig. Sie können mit der NAP-Clientkonfiguration keine Computer verwalten, die nicht NAP-fähig sind.

Hinweis

Sie können mit der NAP-Clientkonfiguration keine NAP-Einstellungen auf einem Remotecomputer konfigurieren. Die NAP-Clientkonfiguration kann nur zum Konfigurieren von NAP-Einstellungen auf einem lokalen Computer oder zum Erstellen einer XML-Konfigurationsdatei auf einem lokalen Computer verwendet werden.

Weitere Verweise


Inhaltsverzeichnis