存取權限是在網路原則伺服器 (NPS) 中每個網路原則的 [概觀] 索引標籤上所設定。它可供您設定原則,決定當連線要求符合網路原則的條件與限制時要授與使用者存取權或拒絕使用者存取。存取權限設定可產生下列結果:
-
授與存取權。如果連線要求符合原則中設定的條件與限制,就會授與存取權。
-
拒絕存取。如果連線要求符合原則中設定的條件與限制,就會拒絕存取。
也可以根據每個使用者帳戶的撥入內容來授與或拒絕存取權限。
附註 | |
您可以在 [Active Directory 使用者和電腦] 或在 [本機使用者和群組] Microsoft Management Console (MMC) 嵌入式管理單元中,設定使用者帳戶與其內容 (例如撥入內容),視您是否已安裝 Active Directory 網域服務 (AD DS) 而定。 |
在使用者帳戶的撥入內容上設定的 [網路存取使用權限] 使用者帳戶設定,會覆寫網路原則存取權限設定。當使用者帳戶的網路存取權限設定為 [透過 NPS 網路原則控制存取] 選項時,網路原則存取權限設定會決定要授與或拒絕使用者存取。
當 NPS 依據設定的網路原則來評估連線要求時,它會執行下列動作:
-
如果與第一個原則的條件不符,NPS 會評估下一個原則,並繼續此程序,直到找到符合的項目或評估完所有的原則為止。
-
如果符合原則的條件與限制,NPS 會授與或拒絕存取,視原則中的 [存取權限] 設定值而定。
-
如果原則的條件符合,但在原則中的限制不符,NPS 會拒絕連線要求。
-
如果所有原則的條件都不符,NPS 會拒絕連線要求。
略過使用者帳戶撥入內容
您可以設定 NPS 網路原則略過使用者帳戶的撥入內容,方法是在網路原則的 [概觀] 索引標籤上,選取或清除 [略過使用者帳戶撥入內容] 核取方塊。一般而言,當 NPS 執行連線要求的授權時,它會檢查使用者帳戶的撥入內容,其中網路存取權限設定值會影響是否授權使用者連線到網路。當您設定 NPS 在授權期間略過使用者帳戶的撥入內容時,網路原則設定會決定是否授權使用者存取網路。
使用者帳戶的撥入內容包含下列項目:
-
網路存取使用權限
-
撥號者識別碼
-
回撥選項
-
靜態 IP 位址
-
靜態路由
若要支援 NPS 提供驗證與授權的多種連線,可能需要停用使用者帳戶撥入內容處理。這麼做可以支援不需要特定撥入內容的情況。
例如,撥號者識別碼、回撥、靜態 IP 位址以及靜態路由內容是為撥入網路存取伺服器 (NAS) 的用戶端所設計,而不是為連線至無線存取點的用戶端所設計。無線存取點從 NPS 收到 RADIUS 訊息中的這些設定時,可能無法處理它們,且可能造成無線用戶端連線中斷。
由 NPS 為透過無線存取點撥入和存取組織網路的使用者提供驗證與授權時,必須設定撥入內容,才能支援撥入連線 (設定撥入內容) 或無線連線 (不設定撥入內容)。
您可以使用 NPS 在某些情況下 (例如撥入) 啟用使用者帳戶的撥入內容處理,並在其他情況下 (例如 802.1X 無線與驗證交換機) 停用撥入內容處理。
您也可以使用 [略過使用者帳戶撥入內容],透過群組和網路原則的存取權限設定來管理網路存取控制。選取 [略過使用者帳戶撥入內容] 核取方塊時,就會略過使用者帳戶的網路存取權限。
這個設定的唯一缺點是您無法使用撥號者識別碼、回撥、靜態 IP 位址以及靜態路由等其他使用者帳戶撥入內容。