Freigeben über


Konfigurieren der Ausnahmerichtlinien für den Netzwerkzugriffsschutz in Configuration Manager

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – August 2007

Wenn Sie in Configuration Manager 2007 den Netzwerkzugriffsschutz verwenden, wird die erste übereinstimmende Netzwerkrichtlinie auf dem Netzwerkrichtlinienserver auf Clients angewendet, die eine Verbindung herstellen. Für Ausnahmen ist somit eine eigene Richtlinie erforderlich, die ausschließlich mit den Ausnahmen übereinstimmt und andere Einstellungen als die Standardrichtlinien aufweist.

Beispiele

Im Folgenden sind einige Szenarien und Richtlinien dazu angeführt, wie Netzwerkzugriffsschutz-Ausnahmen in Configuration Manager angewendet werden:

  • Bestimmte Personen sollen immer über vollen Netzwerkzugriff verfügen..

  • Desktopcomputer sollen in nicht kompatiblem Zustand für begrenzte Zeit über vollen Netzwerkzugriff verfügen, während nicht kompatible Laptops begrenzten Zugriff erhalten sollen.

  • Während der Stunden, in denen ein lokaler Helpdesk nicht verfügbar ist, sollen nicht kompatible Computer für einen begrenzten Zeitraum über vollständigen Netzwerkzugriff (anstatt nur eines begrenzten Zugriffs) verfügen.

  • Bei bestimmten Geräten soll der Configuration Manager-Integritätszustand nicht überprüft werden. Diese Richtlinie soll angewendet werden, wenn der Configuration Manager-Client auf ausgewählten Computern nicht installiert werden darf.

Bestimmte Personen sollen immer über vollen Netzwerkzugriff verfügen.

  1. Erstellen Sie eine neue Netzwerkrichtlinie mit der folgenden Konfiguration:

    • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

    • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Windows-Gruppen hinzu, klicken Sie auf Gruppen hinzufügen, wählen Sie die Gruppe aus, die alle Personen enthält, die auch bei Nichtkompatibilität jederzeit vollen Netzwerkzugriff ohne Wiederherstellung erhalten sollen. Klicken Sie auf die gerade ausgewählte Gruppe, klicken Sie auf OK und dann erneut auf OK, um das Dialogfeld Windows-Gruppen zu schließen.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die zuvor erstellte Integritätsrichtlinie Kompatibel aus, und klicken Sie dann auf OK.

    • Klicken Sie auf der Registerkarte Einschränkungen lediglich für die DHCP- und IPsec-Erzwingung auf Nur Integritätsprüfung für Computer durchführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

    • Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Netzwerkzugriffsschutz auf NAP-Erzwingung, dann auf Vollständigen Netzwerkzugriff gewähren und schließlich auf OK.

  2. Positionieren Sie diese Richtlinie vor der Configuration Manager-Netzwerkrichtlinie, die auf die kompatible Integritätsrichtlinie verweist und keine Bedingung „Windows-Gruppe“ aufweist.

Desktopcomputer sollen in nicht kompatiblem Zustand für begrenzte Zeit über vollen Netzwerkzugriff verfügen, während nicht kompatible Laptops begrenzten Zugriff erhalten sollen.

  1. Erstellen Sie eine Netzwerkrichtlinie „Nicht kompatibel“ für Desktopnetzwerkcomputer:

    • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

    • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Computergruppen hinzu, klicken Sie auf Gruppen hinzufügen, wählen Sie die Gruppe mit allen Computern aus, die im Falle der Nichtkompatibilität für begrenzte Zeit vollen Netzwerkzugriff haben sollen. Klicken Sie auf die gerade ausgewählte Gruppe, klicken Sie auf OK und dann erneut auf OK, um das Dialogfeld Computergruppen zu schließen.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die zuvor erstellte Richtlinie Nicht kompatibel aus, und klicken Sie dann auf OK.

    • Klicken Sie auf der Registerkarte Einschränkungen lediglich für die DHCP- und IPsec-Erzwingung auf Nur Integritätsprüfung für Computer durchführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

    • Klicken Sie auf der Registerkarte Einstellungen im Bereich Netzwerkzugriffsschutz auf NAP-Erzwingung, und klicken Sie anschließend auf Vollen Netzwerkzugriff für eine begrenzte Zeit zulassen. Mit den Optionen Datum und Uhrzeit geben Sie an, wann Computer begrenzten Netzwerkzugriff erhalten sollen, wenn deren Integritätszustand weiterhin nicht kompatibel ist.

    • Klicken Sie auf der Registerkarte Einstellungen auf NAP-Erzwingung, klicken Sie im Abschnitt Wiederherstellungsservergruppe und Problembehandlungs-URL auf Konfigurieren, geben Sie im Dialogfeld Wiederherstellungsserver und Problembehandlungs-URL Folgendes ein, und klicken Sie anschließend auf OK:

      Wählen Sie im Abschnitt Wiederherstellungsservergruppe die zuvor erstellte Wiederherstellungsservergruppe aus, welche Infrastrukturserver wie DNS-Server enthält.

      Geben Sie im Abschnitt Problembehandlungs-URL den Link zu einer Webseite ein, auf die von einem eingeschränkten Netzwerk aus zugegriffen werden kann und die Benutzern während einer Wiederherstellung angezeigt werden soll.

  2. Erstellen Sie eine Netzwerkrichtlinie „Nicht kompatibel“ für Laptops:

    • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

    • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Computergruppen hinzu, klicken Sie auf Gruppen hinzufügen, wählen Sie die Gruppe mit allen Laptops aus, die bei Nichtkompatibilität begrenzten Netzwerkzugriff haben sollen. Klicken Sie auf die gerade ausgewählte Gruppe, klicken Sie auf OK und dann erneut auf OK, um das Dialogfeld Computergruppen zu schließen.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die zuvor erstellte Richtlinie Nicht kompatibel aus, und klicken Sie dann auf OK.

    • Klicken Sie auf der Registerkarte Einschränkungen lediglich für die DHCP- und IPsec-Erzwingung auf Nur Integritätsprüfung für Computer durchführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

    • Klicken Sie auf der Registerkarte Einstellungen im Bereich Netzwerkzugriffsschutz auf NAP-Erzwingung, und klicken Sie anschließend auf Begrenzten Zugriff zulassen.

    • Klicken Sie auf der Registerkarte Einstellungen auf NAP-Erzwingung, klicken Sie im Abschnitt Wiederherstellungsservergruppe und Problembehandlungs-URL auf Konfigurieren, geben Sie im Dialogfeld Wiederherstellungsserver und Problembehandlungs-URL Folgendes ein, und klicken Sie anschließend auf OK:

      Wählen Sie im Abschnitt Wiederherstellungsservergruppe die zuvor erstellte Wiederherstellungsservergruppe aus, welche Infrastrukturserver wie DNS-Server enthält.

      Geben Sie im Abschnitt Problembehandlungs-URL den Link zu einer Webseite ein, auf die von einem eingeschränkten Netzwerk aus zugegriffen werden kann und die Benutzern während einer Wiederherstellung angezeigt werden soll.

  3. Positionieren Sie die Netzwerkrichtlinie „Nicht kompatibel“ für Laptops vor die Netzwerkrichtlinie „Nicht kompatibel“ für Desktopcomputer.

Während der Stunden, in denen ein lokaler Helpdesk nicht verfügbar ist, sollen nicht kompatible Computer für einen begrenzten Zeitraum über vollständigen Netzwerkzugriff (anstatt nur eines begrenzten Zugriffs) verfügen.

  1. Erstellen Sie eine Netzwerkrichtlinie „Nicht kompatibel“ mit vollem Netzwerkschutz für eine begrenzte Zeit von 02:00 Uhr bis 04:00 Uhr morgens:

    • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

    • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Tages- und Uhrzeitbegrenzungen hinzu, wählen Sie 02:00 – 04:00 Uhr aus, klicken Sie auf Zugelassen und anschließend auf OK.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die zuvor erstellte Richtlinie Nicht kompatibel aus, und klicken Sie dann auf OK.

    • Klicken Sie auf der Registerkarte Einschränkungen lediglich für die DHCP- und IPsec-Erzwingung auf Nur Integritätsprüfung für Computer durchführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

    • Klicken Sie auf der Registerkarte Einstellungen im Bereich Netzwerkzugriffsschutz auf NAP-Erzwingung, und klicken Sie anschließend auf Vollen Netzwerkzugriff für eine begrenzte Zeit zulassen. Mit den Optionen Datum und Uhrzeit geben Sie an, wann Computer begrenzten Netzwerkzugriff erhalten sollen, wenn deren Integritätszustand weiterhin nicht kompatibel ist.

    • Klicken Sie auf der Registerkarte Einstellungen auf NAP-Erzwingung, klicken Sie im Abschnitt Wiederherstellungsservergruppe und Problembehandlungs-URL auf Konfigurieren, geben Sie im Dialogfeld Wiederherstellungsserver und Problembehandlungs-URL Folgendes ein, und klicken Sie anschließend auf OK:

    • Wählen Sie im Abschnitt Wiederherstellungsservergruppe die zuvor erstellte Wiederherstellungsservergruppe aus, welche Infrastrukturserver wie DNS-Server enthält.

    • Geben Sie im Abschnitt Problembehandlungs-URL den Link zu einer Webseite ein, auf die von einem eingeschränkten Netzwerk aus zugegriffen werden kann und die Benutzern während einer Wiederherstellung angezeigt werden soll.

  2. Stellen Sie sicher, dass diese Richtlinie vor der Richtlinie „Nicht kompatibel“ positioniert ist, die keine Bedingungen für Tages- und Uhrzeitbegrenzungen aufweist.

Bei bestimmten Geräten soll der Configuration Manager-Integritätszustand nicht überprüft werden. Diese Richtlinie soll angewendet werden, wenn der Configuration Manager-Client auf ausgewählten Computern nicht installiert werden darf.

  1. Erstellen Sie eine neue Integritätsrichtlinie, die nicht auf die Configuration Manager-Systemintegritätsprüfung verweist, sondern die anderen von Ihnen verwendeten Systemintegritätsprüfungen einbezieht.

  2. Erstellen Sie eine neue Netzwerkrichtlinie:

    • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

    • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Computergruppen hinzu, klicken Sie auf Gruppen hinzufügen, wählen Sie die Windows-Gruppe mit allen Computern aus, auf denen der Configuration Manager-Client nicht installiert sein darf. Klicken Sie auf die gerade ausgewählte Gruppe, klicken Sie auf OK und dann erneut auf OK, um das Dialogfeld Computergruppen zu schließen.

    • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die neue Integritätsrichtlinie aus, die nicht auf die Configuration Manager-Systemintegritätsprüfung verweist, und klicken Sie anschließend auf OK.

    • Klicken Sie auf der Registerkarte Einschränkungen lediglich für die DHCP- und IPsec-Erzwingung auf Nur Integritätsprüfung für Computer durchführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

    • Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Netzwerkzugriffsschutz auf NAP-Erzwingung, dann auf Vollständigen Netzwerkzugriff gewähren und schließlich auf OK.

  3. Positionieren Sie diese Netzwerkrichtlinie vor allen anderen Richtlinien, die auf die Configuration Manager-Integritätsrichtlinien verweisen.

Siehe auch

Konzepte

Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz

Andere Ressourcen

Konfigurieren des Netzwerkrichtlinienservers für Configuration Manager
Übersicht über den Netzwerkzugriffsschutz

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com