Uprawnienie dostępu jest konfigurowane na karcie Przegląd każdej zasady sieciowej na serwerze zasad sieciowych (NPS). Umożliwia ono skonfigurowanie zasady w celu udzielania lub odmowy dostępu użytkownikom, jeśli żądanie połączenia jest zgodne z warunkami i ograniczeniami danej zasady sieciowej. Ustawienia uprawnień dostępu mają następujące działanie:

  • Udziel dostępu. Dostęp jest udzielany, jeśli żądanie połączenia jest zgodne z warunkami i ograniczeniami skonfigurowanymi w zasadzie.

  • Odmów dostępu. Odmowa dostępu następuje wtedy, gdy żądanie połączenia jest zgodne z warunkami i ograniczeniami skonfigurowanymi w zasadzie.

Ponadto udzielenie i odmowa dostępu następują zgodnie z właściwościami telefonowania każdego konta użytkownika.

Uwaga

Konta użytkowników i ich właściwości, takie jak właściwości telefonowania, są konfigurowane w przystawce programu Microsoft Management Console (MMC) Użytkownicy i komputery usługi Active Directory lub Użytkownicy i grupy lokalne, w zależności od tego, czy zainstalowano usługi domenowe w usłudze Active Directory (AD DS, Active Directory Domain Services).

Ustawienie konta użytkownika Uprawnienie dostępu do sieci, które jest skonfigurowane we właściwościach telefonowania kont użytkowników, zastępuje ustawienie uprawnień dostępu zasad sieciowych. Jeśli zostanie ustawiona opcja Kontroluj dostęp poprzez zasady sieci NPS dla uprawnienia dostępu do sieci dla konta użytkownika, ustawienie dostępu zasady sieciowej określa, czy należy udzielić czy odmówić dostępu użytkownikowi.

Podczas oceniania zgodności żądania połączenia ze skonfigurowanymi zasadami sieciowymi serwer NPS wykonuje następujące akcje:

  • Jeśli nie są spełnione warunki pierwszej zasady, serwer zasad sieciowych sprawdza następną zasadę i kontynuuje ten proces, aż do znalezienia zgodnej zasady lub sprawdzenia wszystkich zasad pod kątem zgodności.

  • Jeśli są spełnione warunki i ograniczenia danej zasady, serwer zasad sieciowych udziela dostępu lub go odmawia, w zależności od wartości ustawienia Uprawnienie dostępu w zasadzie.

  • Jeśli są spełnione warunki zasady, ale nie są spełnione ograniczenia zasady, serwer zasad sieciowych odrzuca żądanie połączenia.

  • Jeśli nie są spełnione warunki żadnej zasady, serwer zasad sieciowych odrzuca żądanie połączenia.

Ignorowanie właściwości telefonowania konta użytkownika

Zasadę sieciową serwera zasad sieciowych można skonfigurować tak, aby były ignorowane właściwości telefonowania kont użytkowników. W tym celu należy zaznaczyć lub wyczyścić pole wyboru Ignoruj właściwości telefonowania dla konta użytkownika na karcie Ogólne zasady sieciowej. Zazwyczaj kiedy serwer zasad sieciowych autoryzuje żądanie połączenia, sprawdza właściwości telefonowania konta użytkownika, dla których wartość ustawienia uprawnienia dostępu do sieci może mieć wpływ na to, czy użytkownik jest autoryzowany do nawiązywania połączeń z siecią. Jeśli serwer zasad sieciowych zostanie skonfigurowany tak, aby ignorować właściwości telefonowania kont użytkowników podczas autoryzacji, ustawienia zasad sieciowych określają, czy użytkownik ma dostęp do sieci.

Właściwości telefonowania kont użytkowników zawierają następujące ustawienia:

  • Uprawnienie dostępu do sieci

  • Identyfikator dzwoniącego

  • Opcje wywołania zwrotnego

  • Statyczny adres IP

  • Trasy statyczne

Do obsługi wielu typów połączeń, które uwierzytelnia i autoryzuje serwer zasad sieciowych, konieczne może być wyłączenie przetwarzania właściwości telefonowania kont użytkowników. Taką procedurę można zastosować w celu obsługi scenariuszy, w których nie są wymagane określone właściwości telefonowania.

Na przykład właściwości, takie jak identyfikator dzwoniącego, wywołanie zwrotne, statyczny adres IP i trasy statyczne, są przeznaczone dla klienta, który telefonuje do serwera dostępu do sieci, a nie dla klientów, którzy nawiązują połączenia z punktami dostępu bezprzewodowego. Punkt dostępu bezprzewodowego, który otrzymuje te ustawienia w komunikacie usługi RADIUS z serwera zasad sieciowych, może nie być w stanie ich przetworzyć, co może spowodować rozłączenie klienta bezprzewodowego.

Kiedy serwer zasad sieciowych uwierzytelnia i autoryzuje użytkowników, którzy łączą się telefonicznie i uzyskują dostęp do sieci organizacji, korzystając z punktów dostępu bezprzewodowego, właściwości telefonowania należy skonfigurować do obsługi połączeń telefonicznych (ustawiając właściwości telefonowania) lub połączeń bezprzewodowych (nie ustawiając właściwości telefonowania).

Serwer zasad sieciowych umożliwia włączenie przetwarzania właściwości telefonowania dla konta użytkownika w niektórych scenariuszach (takich jak dostęp telefoniczny) oraz wyłączanie przetwarzania właściwości telefonowania w innych scenariuszach (takich jak dostęp bezprzewodowy 802.1X i korzystanie z przełącznika uwierzytelniającego).

Używając opcji Ignoruj właściwości telefonowania dla konta użytkownika, można również zarządzać kontrolą dostępu do sieci przez grupy i ustawieniem uprawnienia dostępu w zasadzie sieciowej. W przypadku zaznaczenia pola wyboru Ignoruj właściwości telefonowania dla konta użytkownika uprawnienie dostępu do sieci dla konta użytkownika jest ignorowane.

Jedyną wadą takiej konfiguracji jest brak możliwości korzystania z dodatkowych właściwości telefonowania konta użytkownika, takich jak identyfikator dzwoniącego, wywołanie zwrotne, statyczny adres IP oraz trasy statyczne.


Spis treści