Toegangsmachtiging

Toegangsmachtiging wordt geconfigureerd op het tabblad Overzicht van elk netwerkbeleid in NPS (Network Policy Server). U kunt aangeven of gebruikers wel of geen toegang hebben als de voorwaarden en beperkingen van het netwerkbeleid overeenkomen met de verbindingsaanvraag. De instellingen voor toegangsmachtiging hebben het volgende effect:

• Toegang verlenen: toegang wordt verleend als de verbindingsaanvraag overeenkomt met de voorwaarden en beperkingen die in het beleid zijn geconfigureerd.
  
  
• Toegang weigeren: toegang wordt geweigerd als de verbindingsaanvraag niet overeenkomt met de voorwaarden en beperkingen die in het beleid zijn geconfigureerd.
  
  

U kunt toegangsmachtiging ook verlenen of weigeren op basis van de inbeleigenschappen van elk gebruikersaccount.

	Opmerking
	Gebruikersaccounts en hun eigenschappen, zoals inbeleigenschappen, worden geconfigureerd in de MMC-module Active Directory - gebruikers en computers of de MMC-module Lokale gebruikers en groepen, afhankelijk van het feit of u Active Directory Domain Services (AD DS) hebt geïnstalleerd.

De gebruikersaccountinstelling Machtiging voor netwerktoegang, die wordt geconfigureerd in de inbeleigenschappen van gebruikersaccounts, vervangt de instelling voor toegangsmachtiging van het netwerkbeleid. Als deze instelling voor een gebruikersaccount is ingesteld op Toegang beheren via NPS-netwerkbeleid, bepaalt de instelling voor toegangsmachtiging in het netwerkbeleid of de gebruiker wel of geen toegang heeft.

Als verbindingsaanvragen in NPS worden geëvalueerd tegen geconfigureerde netwerkbeleidsregels, worden de volgende acties uitgevoerd:

• Als de voorwaarden van het eerste beleid niet overeenkomen, wordt het volgende beleid geëvalueerd door NPS. Dit gaat door tot er een match wordt gevonden of tot alle beleidsregels zijn geëvalueerd..
  
  
• Als de voorwaarden en beperkingen van een beleid overeenkomen, wordt toegang verleend of geweigerd door NPS, afhankelijk van de waarde voor de instelling Toegangsmachtiging in het beleid.
  
  
• Als de voorwaarden van een beleid wel overeenkomen maar de beperkingen in het beleid niet, wordt de verbindingsaanvraag geweigerd door NPS.
  
  
• Als de voorwaarden van geen enkel beleid overeenkomen, wordt de verbindingsaanvraag geweigerd door NPS.
  
  

U kunt het NPS-netwerkbeleid zo configureren dat de inbeleigenschappen van gebruikersaccounts worden genegeerd. Schakel hiervoor het selectievakje Inbeleigenschappen van gebruikersaccount negeren in op het tabblad Overzicht van het netwerkbeleid. Wanneer NPS normaal gesproken een verbindingsaanvraag autoriseert, worden de inbeleigenschappen van het gebruikersaccount gecontroleerd. De waarde van de instelling voor toegangsmachtiging bepaalt of de gebruiker verbinding mag maken met het netwerk. Als u NPS zo configureert dat de inbeleigenschappen van gebruikersaccounts tijdens autorisatie worden genegeerd, bepalen de netwerkbeleidsinstellingen of de gebruiker toegang heeft tot het netwerk.

De inbeleigenschappen van gebruikersaccounts bestaan uit het volgende:

• Machtiging voor netwerktoegang
  
  
• Beller-id
  
  
• Opties voor terugbellen
  
  
• Statisch IP-adres
  
  
• Statische routes
  
  

Als u meerdere verbindingstypen wilt ondersteunen waarvoor NPS verificatie en autorisatie biedt, moet u mogelijk de verwerking van inbeleigenschappen van gebruikersaccounts uitschakelen. U kunt dit doen om scenario's te ondersteunen waarin specifieke inbeleigenschappen niet zijn vereist.

De eigenschappen Beller-id, Opties voor terugbellen, Statisch IP-adres en Statische routes zijn bijvoorbeeld ontworpen voor clients die inbellen bij een netwerktoegangsserver (NAS), en niet voor clients die verbinding maken met draadloze toegangspunten. Een draadloos toegangspunt dat deze instellingen ontvangt in een RADIUS-bericht van NPS, kan ze mogelijk niet verwerken. Hierdoor wordt de verbinding van de draadloze client verbroken.

Als NPS verificatie en autorisatie biedt voor gebruikers die toegang tot het organisatienetwerk krijgen door in te bellen of een draadloos toegangspunt te gebruiken, moeten de inbeleigenschappen worden geconfigureerd voor de ondersteuning van inbelverbindingen (door inbeleigenschappen in te stellen) of draadloze verbindingen (door geen inbeleigenschappen in te stellen).

U kunt NPS gebruiken om de verwerking van inbeleigenschappen voor het gebruikersaccount in te schakelen in bepaalde scenario's (zoals inbellen) en om de verwerking van inbeleigenschappen uit te schakelen in andere scenario's (zoals draadloos 802.1x en verificatieswitches).

U kunt ook Inbeleigenschappen van gebruikersaccount negeren gebruiken om netwerktoegang te beheren via groepen en de instelling voor toegangsmachtiging in het netwerkbeleid. Als u het selectievakje Inbeleigenschappen van gebruikersaccount negeren inschakelt, wordt de toegangsmachtiging van het gebruikersaccount genegeerd.

Het enige nadeel aan deze configuratie is dat u de andere inbeleigenschappen van het gebruikersaccount ook niet kunt gebruiken.