Zugriffsberechtigungen werden auf der Registerkarte Übersicht der einzelnen Netzwerkrichtlinien im Netzwerkrichtlinienserver (Network Policy Server, NPS) konfiguriert. Sie können die Richtlinie so konfigurieren, dass Benutzern der Zugriff gewährt oder verweigert wird, wenn die Bedingungen und Einschränkungen der Netzwerkrichtlinie mit der Verbindungsanforderung übereinstimmen. Die Einstellungen für die Zugriffsberechtigung haben folgende Auswirkung:
-
Zugriff gewähren. Der Zugriff wird erteilt, wenn die Verbindungsanforderung mit den Eigenschaften und Einschränkungen der Netzwerkrichtlinie übereinstimmt.
-
Zugriff verweigern. Der Zugriff wird verweigert, wenn die Verbindungsanforderung nicht mit den Eigenschaften und Einschränkungen der Netzwerkrichtlinie übereinstimmt.
Die Zugriffsberechtigung wird auch basierend auf den Einwähleigenschaften der einzelnen Benutzerkonten erteilt oder verweigert.
Hinweis | |
Benutzerkonten und deren Eigenschaften, wie z. B. Einwähleigenschaften, werden im MMC-Snap-In Active Directory-Benutzer und -Computer oder Lokale Benutzer und Gruppen konfiguriert, abhängig davon, ob AD DS (Active Directory Domain Services, Active Directory-Domänendienste) installiert ist. |
Die Benutzerkontoeinstellung Netzwerkzugriffsberechtigung, die in den Einwähleigenschaften von Benutzerkonten konfiguriert wird, setzt die Zugriffsberechtigungseinstellung der Netzwerkrichtlinie außer Kraft. Wenn die Netzwerkzugriffsberechtigung in einem Benutzerkonto auf Zugriff über NPS-Netzwerkrichtlinien steuern festgelegt ist, bestimmt die Zugriffsberechtigungseinstellung der Netzwerkrichtlinie, ob dem Benutzer der Zugriff erteilt oder verweigert wird.
Bei der Auswertung von Verbindungsanforderungen für konfigurierte Netzwerkrichtlinien durch den Netzwerkrichtlinienserver (Network Policy Server, NPS) werden folgende Aktionen ausgeführt:
-
Wenn für die Bedingungen der ersten Richtlinie keine Übereinstimmung vorliegt, wertet NPS die nächste Richtlinie aus und setzt diesen Vorgang so lange fort, bis entweder eine Übereinstimmung gefunden wurde oder alle Richtlinien ausgewertet wurden.
-
Wenn für die Bedingungen und Einschränkungen einer Richtlinie eine Übereinstimmung vorliegt, wird der Zugriff in Abhängigkeit von der Einstellung Zugriffsberechtigung in der Richtlinie gewährt oder verweigert.
-
Falls für die Bedingungen einer Richtlinie eine Übereinstimmung vorliegt, nicht jedoch für die Einschränkungen der Richtlinie, wird die Verbindungsanforderung von NPS abgelehnt.
-
Falls für die Bedingungen aller Richtlinien keine Übereinstimmung vorliegt, wird die Verbindungsanforderung von NPS abgelehnt.
Ignorieren der Benutzerkonto-Einwähleigenschaften
Sie können NPS-Netzwerkrichtlinien so konfigurieren, dass die Einwähleigenschaften von Benutzerkonten ignoriert werden, indem Sie das Kontrollkästchen Benutzerkonto-Einwähleigenschaften ignorieren auf der Registerkarte Übersicht der Netzwerkrichtlinie aktivieren bzw. deaktivieren. Wenn NPS die Autorisierung einer Verbindungsanforderung ausführt, werden normalerweise die Einwähleigenschaften des Benutzerkontos überprüft. Dabei kann die Einstellung für die Netzwerkzugriffsberechtigung eine Auswirkung darauf haben, ob der Benutzer die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk erhält. Wenn Sie für NPS festlegen, dass die Einwähleigenschaften von Benutzerkonten während der Autorisierung ignoriert werden, bestimmen Netzwerkrichtlinieneinstellungen, ob dem Benutzer der Zugriff auf das Netzwerk erteilt wird.
Die Einwähleigenschaften von Benutzerkonten enthalten Folgendes:
-
Netzwerkzugriffsberechtigung
-
Anruferkennung
-
Rückrufoptionen
-
Statische IP-Adresse
-
Statische Routen
Für die Unterstützung mehrere Verbindungstypen, für die die Authentifizierung und Autorisierung von NPS bereitgestellt wird, muss möglicherweise die Verarbeitung von Benutzerkonto-Einwähleigenschaften deaktiviert werden. Dadurch können Szenarios unterstützt werden, bei denen keine speziellen Einwähleigenschaften erforderlich sind.
Beispielsweise sind die Eigenschaften für Anruferkennung, Rückruf, statische IP-Adresse und statische Routen für einen Client gedacht, der sich bei einem Netzwerkzugriffsserver (Network Access Server, NAS) einwählt, und nicht für Clients, die Verbindungen mit Drahtloszugriffspunkten herstellen. Ein Drahtloszugriffspunkt, der diese Einstellungen in einer RADIUS-Meldung von Netzwerkrichtlinienserver empfängt, kann diese möglicherweise nicht verarbeiten, weshalb der Drahtlosclient getrennt wird.
Wenn NPS die Authentifizierung und Autorisierung für Benutzer ermöglicht, die sich sowohl einwählen als auch über die Drahtloszugriffspunkte auf das Netzwerk der Organisation zugreifen, müssen die Einwähleigenschaften so konfiguriert werden, dass sie DFÜ-Verbindungen (indem Einwähleigenschaften festgelegt werden) oder Drahtlosverbindungen (indem Einwähleigenschaften nicht festgelegt werden) unterstützen.
Mithilfe von NPS können Sie die Verarbeitung von Einwähleigenschaften für das Benutzerkonto in bestimmten Szenarios (z. B. DFÜ) aktivieren sowie die Verarbeitung von Einwähleigenschaften in anderen Szenarios (z. B. 802.1X-Drahtlosverbindung und -Authentifizierungsswitch) deaktivieren.
Außerdem können Sie mit Benutzerkonto-Einwähleigenschaften ignorieren die Netzwerkzugriffssteuerung mithilfe von Gruppen und der Zugriffsberechtigungseinstellung in der Netzwerkrichtlinie verwalten. Wenn Sie das Kontrollkästchen Benutzerkonto-Einwähleigenschaften ignorieren aktivieren, werden die Netzwerkzugriffsberechtigungen des Benutzerkontos ignoriert.
Der einzige Nachteil hierbei ist, dass Sie die zusätzlichen Benutzerkonto-Einwähleigenschaften für Anruferkennung, Rückruf, statische IP-Adresse und statische Routen nicht verwenden können.