使用“网络访问保护”(NAP) 对客户端计算机强制应用健康策略之前,需要先在客户端计算机上配置 NAP 设置。NAP 客户端配置控制台和组策略管理控制台中的 NAP 客户端配置设置提供了可用于配置 NAP 客户端设置的图形用户界面。
为何需要管理客户端计算机上的 NAP 设置?
NAP 同时依赖于服务器组件和客户端组件。若要使服务器组件和客户端组件一起运行,必须在服务器和客户端计算机上同时配置 NAP 设置。
服务器组件负责验证客户端计算机的健康度,指定客户端计算机可以使用的网络资源。
客户端组件负责编译客户端计算机上的健康状态声明,维护客户端计算机的健康状态,并与服务器组件交流客户端计算机的健康状态。
NAP 客户端配置控制台可以帮助您配置客户端计算机上的 NAP 用户界面设置、NAP 强制客户端设置和健康注册机构 (HRA) 设置。NAP 强制客户端负责强制执行网络访问限制。
对于大部分 NAP 方案,只需要配置 NAP 强制客户端设置。界面设置的配置是可选的,除非部署了基于 Internet 协议安全性 (IPSec) 的强制,否则不需要配置 NAP 健康注册机构设置。默认情况下,禁用内置式 NAP 强制客户端。若要在客户端计算机上强制应用健康策略,必须至少启用一个 NAP 强制客户端。
NAP 客户端配置有哪些功能?
可以使用 NAP 客户端配置控制台在客户端计算机上执行下列任务:
-
启用和禁用 NAP 强制客户端,包括具有 NAP 平台的内置式 NAP 强制客户端以及任意非 Microsoft NAP 强制客户端。
-
配置在客户端计算机上显示的 NAP 用户界面的署名文字和图形。
-
指定您想要客户端计算机与其通信的 HRA 服务器。
-
指定您想要客户端计算机在与 HRA 服务器通信时所使用的加密机制。
此外,可以使用 NAP 客户端配置来启用和禁用 NAP 跟踪,指定您要在跟踪日志文件中捕获的详细信息等级,并使用基于 .xml 的配置文件导入和导出 NAP 客户端设置。
何时使用 NAP 客户端配置?
NAP 客户端配置是可以用于配置客户端计算机上的 NAP 设置的三个工具之一。除 NAP 客户端配置外,还可以使用 NAP 客户端的 Netsh 命令来配置本地客户端计算机的 NAP 设置,或者可以使用组策略管理控制台 (GPMC) 来配置 NAP 客户端配置组策略设置。如果配置组策略中的 NAP 客户端设置,这些设置会在刷新组策略时自动在 NAP 可用的域成员客户端计算机上进行配置。
 | 重要 |
如果配置组策略中的 NAP 客户端设置,将忽略使用 NAP 客户端的 Netsh 命令行工具或 NAP 客户端配置控制台配置的所有设置。 |
当以下任何一种情况属实时,应使用本地计算机上的 NAP 客户端配置:
-
您要使用图形用户界面,而不是 NAP 客户端的 Netsh 命令来配置本地计算机上的 NAP 设置。
-
您的单位使用组策略管理域成员客户端计算机,且您要创建一个可用于配置 NAP 组策略设置的 .xml 配置文件。
-
有少量计算机要求使用自定义配置设置,您要单独配置每台计算机。
-
您希望使用同样的方法配置所有客户端计算机,但不能使用脚本或组策略自动执行或管理配置过程。
如果您的组织使用组策略来管理客户端计算机,而且您要在应用组策略设置时将 NAP 组策略设置应用于客户端计算机,则应该通过组策略使用 NAP 客户端配置。
NAP 客户端配置仅可用于配置 NAP 可用的计算机。如果计算机安装了 NAP 组件,并且能够通过创建运行状况声明 (SoH) 来验证其健康状况,则该计算机可以使用 NAP。运行 Windows(R) 7、Windows Vista(R)、Windows XP Service Pack 3 (SP3)、Windows Server(R) 2008 和 Windows Server(R) 2008 R2 的计算机都可以使用 NAP。不能使用 NAP 客户端配置来管理不支持 NAP 的计算机。
 | 注意 |
|
无法使用 NAP 客户端配置来配置远程计算机的 NAP 设置。NAP 客户端配置只能用于配置本地计算机上的 NAP 设置或创建本地计算机上的 .xml 配置文件。 |