访问权限在网络策略服务器 (NPS) 中每个网络策略的“概述”选项卡中配置。它允许您配置策略,以在连接请求与网络策略的条件和约束匹配时授予用户访问权限或拒绝用户访问。访问权限设置具有以下作用:

  • “授权访问”。如果连接请求匹配策略中配置的条件和约束,则授予访问权限。

  • “拒绝访问”。如果连接请求匹配策略中配置的条件和约束,则拒绝访问。

也可以根据每个用户帐户的拨入属性授予访问权限或拒绝访问。

注意

用户帐户及其属性(如拨入属性)在 Active Directory 用户和计算机或本地用户和组 Microsoft 管理控制台 (MMC) 管理单元中配置,取决于是否已安装 Active Directory 域服务 (AD DS)。

在用户帐户的拨入属性上配置的用户帐户设置“网络访问权限”将覆盖网络策略访问权限设置。将用户帐户上的网络访问权限设置为“通过 NPS 网络策略控制访问”选项时,网络策略访问权限设置将确定授予用户访问权限或拒绝用户访问。

NPS 根据配置的网络策略评估连接请求时,它将执行以下操作:

  • 如果不匹配第一个策略的条件,则 NPS 将评估下一个策略,并继续执行此过程,直至找到一个匹配,或已为一个匹配评估所有策略。

  • 如果策略的条件和约束匹配,则 NPS 授予访问权限或拒绝访问,具体取决于策略中“访问权限”设置的值。

  • 如果策略的条件匹配,而策略中的约束不匹配,则 NPS 拒绝连接请求。

  • 如果所有策略的条件都不匹配,则 NPS 拒绝连接请求。

忽略用户帐户的拨入属性

可以将 NPS 网络策略配置为忽略用户帐户的拨入属性,方法是选中或清除网络策略的“概述”选项卡上的“忽略用户帐户的拨入属性”复选框。通常,当 NPS 执行连接请求的授权时,它会检查用户帐户的拨入属性,其中网络访问权限设置值会影响是否授权用户连接到网络。授权期间,如果将 NPS 配置为忽略用户帐户的拨入属性,则网络策略设置将确定是否授予用户访问网络的权限。

用户帐户的拨入属性包含以下内容:

  • 网络访问权限

  • 呼叫方 ID

  • 回拨选项

  • 静态 IP 地址

  • 静态路由

若要支持 NPS 为之提供身份验证和授权的多种类型的连接,可能需要禁止对用户帐户拨入属性的处理。这样做可以支持不需要特定拨入属性的方案。

例如,呼叫方 ID、回拨、静态 IP 地址和静态路由属性是为拨入网络访问服务器 (NAS) 的客户端设计的,而不是为连接到无线访问点的客户端设计的。从 NPS 的 RADIUS 消息中接收这些设置的无线访问点可能无法处理它们,这可导致无线客户端断开连接。

当 NPS 为通过无线访问点拨入和访问组织网络的用户提供身份验证和授权时,必须将拨入属性配置为支持拨入连接(通过设置拨入属性)或无线连接(通过不设置拨入属性)。

您可以在某些方案(如拨入)中使用 NPS 启用用户帐户的拨入属性处理,并在其他方案(如 802.1X 无线和身份验证交换机)中禁止拨入属性处理。

您还可以使用“忽略用户帐户拨入属性”通过网络策略上的组和访问权限设置管理网络访问控制。当选中“忽略用户帐户的拨入属性”复选框时,用户帐户上的网络访问权限将被忽略。

此配置的唯一缺点是您不能使用用户帐户的其他拨入属性,如呼叫方 ID、回拨、静态 IP 地址和静态路由。


目录