Autorisation d’accès
L’autorisation d’accès est configurée sous l’onglet Vue d’ensemble de chaque stratégie réseau dans Serveur de stratégie réseau (NPS).
Ce paramètre vous permet de configurer la stratégie pour accorder ou refuser l’accès aux utilisateurs si les conditions et les contraintes de la stratégie réseau sont mises en correspondance par la demande de connexion.
Les paramètres d’autorisation d’accès ont l’effet suivant :
- Accorder l'accès. L’accès est accordé si la demande de connexion correspond aux conditions et contraintes configurées dans la stratégie.
- Refuser l'accès. L’accès est refusé si la demande de connexion correspond aux conditions et contraintes configurées dans la stratégie.
L’autorisation d’accès est également accordée ou refusée en fonction de votre configuration des propriétés rendez-vous de chaque compte d’utilisateur.
Notes
Les comptes d’utilisateur et leurs propriétés, telles que les propriétés d’accès rendez-vous, sont configurés dans le Utilisateurs et ordinateurs Active Directory ou le composant logiciel enfichable Microsoft Management Console (MMC) Utilisateurs et groupes locaux, selon que les services de domaine Active Directory® (AD DS) sont installés ou non.
Le paramètre de compte d’utilisateur Autorisation d’accès réseau, qui est configuré sur les propriétés rendez-vous des comptes d’utilisateur, remplace le paramètre d’autorisation d’accès à la stratégie réseau. Lorsque l’autorisation d’accès réseau sur un compte d’utilisateur est définie sur l’option Contrôler l’accès via la stratégie réseau NPS, le paramètre d’autorisation d’accès à la stratégie réseau détermine si l’accès à l’utilisateur est accordé ou refusé.
Notes
Dans Windows Server 2016, la valeur par défaut de l’autorisation d’accès réseau dans les propriétés de numérotation du compte d’utilisateur AD DS est Contrôler l’accès via la stratégie réseau NPS.
Lorsque NPS évalue les demandes de connexion par rapport aux stratégies réseau configurées, il effectue les actions suivantes :
- Si les conditions de la première stratégie ne sont pas réunies, NPS évalue la stratégie suivante et continue ce processus jusqu’à ce qu’une correspondance soit trouvée ou que toutes les stratégies aient été évaluées pour une correspondance.
- Si les conditions et les contraintes d’une stratégie sont réunies, NPS accorde ou refuse l’accès, en fonction de la valeur du paramètre Autorisation d’accès dans la stratégie.
- Si les conditions d’une stratégie correspondent mais que les contraintes de la stratégie ne correspondent pas, NPS rejette la demande de connexion.
- Si les conditions de toutes les stratégies ne correspondent pas, NPS rejette la demande de connexion.
Ignorer les propriétés de numérotation du compte d’utilisateur
Vous pouvez configurer la stratégie réseau NPS pour ignorer les propriétés d’accès rendez-vous des comptes d’utilisateur en activant ou en désactivant la case à cocher Ignorer les propriétés de numérotation des comptes d’utilisateur sous l’onglet Vue d’ensemble d’une stratégie réseau.
Normalement, lorsque NPS effectue l’autorisation d’une demande de connexion, il vérifie les propriétés rendez-vous du compte d’utilisateur, où la valeur du paramètre d’autorisation d’accès réseau peut affecter si l’utilisateur est autorisé à se connecter au réseau. Lorsque vous configurez NPS pour ignorer les propriétés rendez-vous des comptes d’utilisateur pendant l’autorisation, les paramètres de stratégie réseau déterminent si l’utilisateur a accès au réseau.
Les propriétés rendez-vous des comptes d’utilisateur contiennent les éléments suivants :
- Autorisation d’accès réseau
- ID de l'appelant
- Options de rappel
- Adresse IP statique
- Itinéraires statiques
Pour prendre en charge plusieurs types de connexions pour lesquelles NPS fournit l’authentification et l’autorisation, il peut être nécessaire de désactiver le traitement des propriétés de connexion de compte d’utilisateur. Cela peut être effectué pour prendre en charge les scénarios dans lesquels des propriétés d’accès rendez-vous spécifiques ne sont pas requises.
Par exemple, les propriétés d’ID de l’appelant, de rappel, d’adresse IP statique et d’itinéraires statiques sont conçues pour un client qui compose un serveur d’accès réseau (NAS), et non pour les clients qui se connectent à des points d’accès sans fil. Un point d’accès sans fil qui reçoit ces paramètres dans un message RADIUS de NPS peut ne pas être en mesure de les traiter, ce qui peut entraîner la déconnexion du client sans fil.
Lorsque NPS fournit l’authentification et l’autorisation aux utilisateurs qui composent et accèdent au réseau de votre organisation via des points d’accès sans fil, vous devez configurer les propriétés d’accès rendez-vous pour prendre en charge les connexions rendez-vous (en définissant les propriétés de numérotation) ou les connexions sans fil (en ne définissant pas les propriétés de numérotation).
Vous pouvez utiliser NPS pour activer le traitement des propriétés rendez-vous pour le compte d’utilisateur dans certains scénarios (par exemple, rendez-vous) et pour désactiver le traitement des propriétés rendez-vous dans d’autres scénarios (par exemple, sans fil 802.1X et commutateur d’authentification).
Vous pouvez également utiliser Ignorer les propriétés rendez-vous du compte d’utilisateur pour gérer le contrôle d’accès réseau via des groupes et le paramètre d’autorisation d’accès sur la stratégie réseau. Lorsque vous activez la case à cocher Ignorer les propriétés rendez-vous du compte d’utilisateur, l’autorisation d’accès réseau sur le compte d’utilisateur est ignorée.
Le seul inconvénient de cette configuration est que vous ne pouvez pas utiliser les propriétés de numérotation de compte d’utilisateur supplémentaires de l’ID de l’appelant, du rappel, de l’adresse IP statique et des itinéraires statiques.
Pour plus d’informations sur le serveur NPS (Network Policy Server), consultez Serveur NPS (Network Policy Server).