Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Разрешение на доступ настраивается на вкладке "Обзор " каждой политики в сервере политики сети (NPS).
Этот параметр позволяет настроить политику для предоставления или запрета доступа пользователям, если условия и ограничения политики сети соответствуют запросу на подключение.
Параметры разрешений доступа имеют следующий эффект:
- Предоставление доступа. Доступ предоставляется, если запрос подключения соответствует условиям и ограничениям, настроенным в политике.
- Запретить доступ. Доступ запрещен, если запрос подключения соответствует условиям и ограничениям, настроенным в политике.
Разрешение на доступ также предоставляется или отказано в зависимости от конфигурации свойств абонентского подключения для каждой учетной записи пользователя.
Примечание.
Учетные записи пользователей и их свойства, такие как свойства телефонного подключения, настраиваются с помощью оснастки "Пользователи и компьютеры Active Directory" или консоли "Локальные пользователи и группы" в Консоли управления Microsoft (MMC), в зависимости от того, установлены ли у вас доменные службы Active Directory® (AD DS).
Параметр Разрешение на доступ к сети, настроенный в свойствах набора входящих вызовов учетных записей пользователей, переопределяет параметр разрешения на доступ, установленный в политике сети. Если для учетной записи пользователя выбрано управление доступом с помощью сетевой политики NPS, то настройка сетевой политики определяет, предоставляется ли пользователю доступ или он запрещен.
Примечание.
В Windows Server 2016 значение по умолчанию для разрешения доступа к сети в свойствах учетной записи пользователя AD DS — управление доступом с помощью политики сети NPS.
Когда NPS оценивает запросы на подключение к настроенным сетевым политикам, он выполняет следующие действия:
- Если условия первой политики не соответствуют, NPS оценивает следующую политику и продолжает этот процесс до тех пор, пока не будет найдено совпадение или все политики были оценены для соответствия.
- Если условия и ограничения политики совпадают, NPS предоставляет или запрещает доступ в зависимости от значения параметра разрешения доступа в политике.
- Если условия политики совпадают, но ограничения в политике не совпадают, NPS отклоняет запрос на подключение.
- Если условия всех политик не соответствуют, NPS отклоняет запрос на подключение.
Игнорировать свойства абонентской записи пользователя
Вы можете настроить политику сети NPS, чтобы игнорировать свойства учетных записей пользователей, выбрав или снимите флажок "Игнорировать свойства абонентской учетной записи пользователя" на вкладке "Обзор " политики сети.
Обычно, когда NPS выполняет авторизацию запроса на подключение, он проверяет свойства учетной записи пользователя, где значение параметра разрешения доступа к сети может повлиять на то, разрешен ли пользователь подключаться к сети. При настройке NPS на игнорирование свойств учетных записей пользователей во время авторизации, сетевые политики определяют, будет ли предоставлен пользователю доступ к сети.
Свойства удаленного доступа учетных записей пользователей содержат следующее:
- Разрешение сетевого доступа
- Вызывающий идентификатор
- Параметры обратного вызова
- Статический IP-адрес
- Статические маршруты
Чтобы поддерживать несколько типов подключений, для которых NPS предоставляет проверку подлинности и авторизацию, может потребоваться отключить обработку свойств абонентской записи пользователя. Это можно сделать для поддержки сценариев, в которых определенные свойства телефонного подключения не требуются.
Например, свойства определения номера, обратного вызова, статического IP-адреса и статических маршрутов предназначены для клиента, подключающегося к серверу сетевого доступа (NAS), а не для клиентов, подключающихся к точкам беспроводного доступа. Точка беспроводного доступа, которая получает эти параметры в сообщении RADIUS от NPS, может не обрабатывать их, что может привести к отключению беспроводного клиента.
Если NPS обеспечивает проверку подлинности и авторизацию для пользователей, которые подключаются по коммутируемой линии и обращаются к сети организации через беспроводные точки доступа, необходимо настроить свойства коммутируемого доступа для поддержки подключений по коммутируемой линии (настраивая свойства коммутируемого доступа) или беспроводных подключений (не настраивая свойства коммутируемого доступа).
С помощью NPS можно включить обработку свойств телефонного подключения для учетной записи пользователя в некоторых сценариях (например, с телефонным подключением) и отключить обработку свойств телефонного подключения в других сценариях (например, 802.1X беспроводной и аутентификации коммутатора).
Для управления доступом к сети с помощью групп и параметра разрешений доступа к политике сети можно также использовать свойства "Игнорировать учетную запись пользователя". Когда вы выбираете флажок "Игнорировать свойства телефонного подключения учетной записи пользователя", разрешение на сетевой доступ для учетной записи пользователя игнорируется.
Единственным недостатком этой конфигурации является то, что нельзя использовать такие дополнительные свойства учетной записи пользователя, как идентификацию вызывающего абонента, обратный вызов, статический IP-адрес и статические маршруты.
Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).