“网络策略”是一组条件、约束和设置,允许您指定授权谁连接到网络以及其可以或不可以连接的环境。部署网络访问保护 (NAP) 时,将向网络策略配置中添加健康策略,以便在授权的过程中网络策略服务器 (NPS) 执行客户端健康检查。
当处理作为远程身份验证拨入用户服务 (RADIUS) 服务器的连接请求时,NPS 对此连接请求既执行身份验证,也执行授权。在身份验证过程中,NPS 验证连接到网络的用户或计算机的身份。在授权过程中,NPS 确定是否允许用户或计算机访问网络。
若要进行此决定,NPS 使用在 NPS Microsoft 管理控制台 (MMC) 管理单元中配置的网络策略。NPS 还检查 Active Directory(R) 域服务 (AD DS) 中帐户的拨入属性以执行授权。
注意 | |
在 Windows Server(R) 2003 操作系统的 Internet 身份验证服务 (IAS) 中,网络策略称为“远程访问策略”。 |
可以将网络策略视为规则。每个规则都具有一组条件和设置。NPS 将规则的条件与连接请求的属性进行对比。如果规则和连接请求之间出现匹配,则规则中定义的设置会应用于连接。
当在 NPS 中配置了多个网络策略时,它们是一组有序规则。NPS 根据列表中的第一个规则检查每个连接请求,然后根据第二个规则进行检查,依次类推,直到找到匹配项为止。
每个网络策略都有“策略状态”设置,使用该设置可以启用或禁用策略。如果禁用网络策略,则授权连接请求时,NPS 不评估策略。
重要 | |
如果您希望在对连接请求执行授权时 NPS 评估网络策略,则必须通过选中“启用的策略”复选框来配置“策略状态”设置。 |
网络策略属性
每个网络策略都有四种类别的属性:
-
概述
使用这些属性可以指定是否启用策略、是允许还是拒绝访问策略,以及连接请求是需要特定网络连接方法还是需要网络访问服务器 (NAS) 类型。使用概述属性还可以指定是否忽略 AD DS 中的用户帐户的拨入属性。如果选择该选项,则 NPS 只使用网络策略中的设置来确定是否授权连接。
-
条件
使用这些属性,可以指定为了匹配网络策略,连接请求所必须具有的条件;如果策略中配置的条件与连接请求匹配,则 NPS 将在网络策略中指定的设置应用于连接。例如,如果将 NAS IPv4 地址指定为网络策略的条件,并且 NPS 从具有指定 IP 地址的 NAS 接收连接请求,则策略中的条件与连接请求相匹配。
-
约束
约束是匹配连接请求所需的网络策略的附加参数。如果连接请求与约束不匹配,则 NPS 自动拒绝该请求。与 NPS 对网络策略中不匹配条件的响应不同,如果约束不匹配,则 NPS 将拒绝连接请求,而不评估附加网络策略。
-
设置
使用这些属性,可以指定在策略的所有网络策略条件都匹配时,NPS 应用于连接请求的设置。
当使用 MMC 管理单元添加新的网络策略时,必须使用新建网络策略向导。使用该向导创建网络策略之后,可以通过双击 NPS 管理单元中的策略获得策略属性来自定义策略。