Før du kan bruke beskyttelse av nettverkstilgang (NAP – Network Access Protection) til å håndheve helsepolicyer på klientdatamaskiner, må du konfigurere NAP-innstillingene på klientdatamaskinene. Konsollen NAP-klientkonfigurasjon og innstillingene for NAP-klientkonfigurasjon i konsollen for gruppepolicybehandling tilbyr et grafisk brukergrensesnitt for konfigurering av NAP-klientinnstillinger.
Hvorfor trenger jeg å administrere NAP-innstillinger på klientdatamaskiner?
NAP er avhengig av både server- og klientkomponenter. Fra at serverkomponentene og klientkomponentene skal kunne fungere sammen, må du konfigurere NAP-innstillingene på både serverne og klientdatamaskinene.
Serverkomponentene er ansvarlige for å validere helsen til klientdatamaskinene og angi hvilke nettverksressurser som er tilgjengelige for klientdatamaskiner.
Klientkomponentene er ansvarlige for å kompilere helsestatussetninger på klientdatamaskiner, vedlikeholde helsetilstanden til en klientdatamaskin og formidle en klientdatamaskins helsetilstand til serverkomponentene.
Konsollen NAP-klientkonfigurasjon hjelper deg med å konfigurere innstillingene for NAP-brukergrensesnittet, klientinnstillingene for NAP-håndhevelse og HRA(Health Registration Authority) -innstillingene på klientdatamaskinene. En NAP-håndhevelsesklient er ansvarlig for å håndheve begrensninger på nettverkstilgangen.
I de fleste NAP-scenarier må du bare konfigurere innstillingene for NAP-håndhevelsesklienten. Konfigurasjon av grensesnittinnstillinger er valgfritt, og du behøver ikke å konfigurere innstillingene for NAP-tilstandsregistreringsinstans med mindre du implementerer håndhevelse basert på Internet Protocol-sikkerhet (IPsec). Som standard er de innebygde NAP-håndhevingsklientene deaktiverte. Når du skal håndheve helsepolicyer på en klientdatamaskin, må du aktivere minst én NAP-håndhevelsesklient.
Hva kan jeg gjøre med NAP-klientkonfigurasjon?
Du kan bruke konsollen NAP-klientkonfigurasjon til å utføre følgende oppgaver på klientdatamaskinene:
-
Aktivere og deaktivere NAP-håndhevelsesklienter, inkludert de innebygde NAP-håndhevelsesklientene som følger med NAP-plattformen, og eventuelle NAP-håndhevelsesklienter som ikke kommer fra Microsoft.
-
Konfigurere merketekst og grafikk for NAP-brukergrensesnittet som vises på klientdatamaskinene.
-
Angi hvilke HRA-servere du vil at klientdatamaskinene skal kommunisere med.
-
Angi hvilken kryptografimekanisme du vil at klientdatamaskinene skal bruke når de kommuniserer med HRA-servere.
I tillegg kan du bruke NAP-klientkonfigurasjon til å aktivere og deaktivere NAP-sporing, angi detaljnivået du vil registrere i en sporingsloggfil, og importere og eksportere NAP-klientinnstillinger ved hjelp av en XML-basert konfigurasjonsfil.
Når bør jeg bruke NAP-klientkonfigurasjon?
NAP-klientkonfigurasjon er ett av tre verktøy du kan bruke til å konfigurere NAP-innstillinger på klientdatamaskinene. I tillegg til NAP-klientkonfigurasjon kan du konfigurere NAP-innstillinger på lokale klientdatamaskiner ved å bruke Netsh-kommandoene for NAP-klient, eller du kan bruke konsollen for gruppepolicybehandling til å konfigurere gruppepolicyinnstillingene for NAP-klientkonfigurasjon. Når du konfigurerer NAP-klientinnstillingene i Gruppepolicy, blir disse innstillingene automatisk konfigurert på NAP-kompatible klientdatamaskiner som er domenemedlemmer, når Gruppepolicy blir oppdatert.
 | Viktig! |
Hvis du konfigurerer NAP-klientinnstillinger i gruppepolicyen, ignoreres eventuelle innstillinger som er konfigurert ved hjelp av Netsh-kommmandolinjeverktøyet for NAP-klienten eller konsollen NAP-klientkonfigurasjon. |
Du bør bruke NAP-klientkonfigurasjon på en lokal datamaskin når noen av følgende betingelser er oppfylt:
-
Du ønsker å bruke et grafisk brukergrensesnitt til å konfigurere NAP-innstillinger på en lokal datamaskin i stedet for å bruke Netsh-kommandoene for NAP-klient.
-
Organisasjonen bruker Gruppepolicy til å administrere klientdatamaskiner som er domenemedlemmer, og du vil opprette en XML-konfigurasjonsfil som du kan bruke til å konfigurere gruppepolicyinnstillingene for NAP.
-
Du har et lite antall datamaskiner som krever tilpassede konfigurasjonsinnstillinger, og du ønsker å konfigurere hver datamaskin individuelt.
-
Du vil konfigurere alle klientdatamaskinene på nøyaktig samme måte, men kan ikke automatisere eller administrere konfigurasjonsprosessen ved å bruke skript eller Gruppepolicy.
Du bør bruke NAP-klientkonfigurasjon via gruppepolicy når organisasjonen bruker gruppepolicy til å administrere klientdatamaskiner og du ønsker at gruppepolicyinnstillinger for NAP skal brukes på klientdatamaskiner når gruppepolicyinnstillinger blir brukt.
Det er bare NAP-kompatible datamaskiner som kan konfigureres ved hjelp av NAP-klientkonfigurasjon. En datamaskin er NAP-kompatibel hvis den har NAP-komponentene installert og kan bekrefte egen tilstand ved å opprette en tilstandserklæring (SoH). Datamaskiner som kjører Windows® 7, Windows Vista®, Windows XP Service Pack 3 (SP3), Windows Server® 2008 og Windows Server® 2008 R2, er NAP-kapable. Du kan ikke bruke NAP-klientkonfigurasjon til å administrere datamaskiner som ikke er NAP-kapable.
 | Obs! |
|
Du kan ikke bruke NAP-klientkonfigurasjon til å konfigurere NAP-innstillinger på en ekstern datamaskin. NAP-klientkonfigurasjon kan bare brukes til å konfigurere NAP-innstillinger på en lokal datamaskin eller til å opprette en XML-konfigurasjonsfil på en lokal datamaskin. |