为 Configuration Manager 网络访问保护配置免除策略
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
当您使用 Configuration Manager 2007 的网络访问保护时,网络策略服务器上的第一项匹配的网络策略将应用到连接的客户端。这意味着例外和免除情况需要其自己的策略,这些策略仅与例外和免除情况匹配,其设置与标准策略设置不同。
示例
以下列出了一些指导如何对 Configuration Manager 网络访问保护 (NAP) 实现免除的示例方案:
指定人员的网络访问权限永远不受限制。
不符合的台式计算机会在有限时间内拥有完全的网络访问权限,而不符合的便携式计算机会拥有受限的访问权限。
在联系不到当地的支持人员时,不符合的计算机会在有限时间内拥有完全的网络访问权限,而不是受限的访问权限。。
不检查指定计算机的 Configuration Manager 健康状况。这适用于不应在选择的计算机上安装 Configuration Manager 客户端的情况。。
指定人员的网络访问权限永远不受限制
创建一个具有下列配置的新网络策略:
在“概述”选项卡上,选择“已启用策略”。
在“概述”选项卡上,选择访问权限“授予访问权限。如果连接请求满足此策略,则授予访问权限”。
在“条件”选项卡上,添加“Windows 组”条件,单击“添加组”,选择包含应始终具有完全网络访问权限而无需修正(像符合一样)的所有人员的组。单击您刚才选择的组,单击“确定”,然后单击“确定”以关闭“Windows 组”对话框。
在“条件”选项卡上,添加条件“健康策略”,选择先前创建的“符合”健康策略,然后单击“确定”。
在“约束”选项卡上,仅为 DHCP 和 IPsec 强制单击“仅执行计算机健康检查”。注意,如果使用 VPN 或 802.1X 作为强制机制,则不应选择此设置。
在“设置”选项卡上,单击“网络访问保护”部分之下的“NAP 强制”,单击“允许完全的网络访问权限”,然后单击“确定”。
将此策略排列在引用符合健康策略且没有“Windows 组”条件的 Configuration Manager 网络策略的前面。
不符合的台式计算机会在有限时间内拥有完全的网络访问权限,而不符合的便携式计算机会拥有受限的访问权限
为联网的台式计算机创建不符合网络策略:
在“概述”选项卡上,选择“已启用策略”。
在“概述”选项卡上,选择访问权限“授予访问权限。如果连接请求满足此策略,则授予访问权限”。
在“条件”选项卡上,添加条件“计算机组”,单击“添加组”,选择包含应在有限时间内具有完全的网络访问权限(如不符合)的所有计算机的组。单击您刚才选择的组,单击“确定”,然后单击“确定”以关闭“计算机组”对话框。
在“条件”选项卡上,添加条件“健康策略”,选择先前创建的“不符合”健康策略,然后单击“确定”。
在“约束”选项卡上,仅为 DHCP 和 IPsec 强制单击“仅执行计算机健康检查”。注意,如果使用 VPN 或 802.1X 作为强制机制,则不应选择此设置。
在“设置”选项卡上的“网络访问保护”部分之下,单击“NAP 强制”,然后单击“在有限时间内允许完全的网络访问权限”,然后使用“日期”和“时间”选项来设置当计算机的健康状况保持为不符合时,何时应具有受限的网络访问权限。
在“设置”选项卡上,单击“NAP 强制”,单击“修正服务器组和疑难解答 URL”部分中的“配置”,并在“修正服务器组和疑难解答 URL”对话框中指定下列设置,然后单击“确定”:
在“修正服务器组”部分中,选择先前创建的修正服务器组,该服务器组包含基础结构服务器(如 DNS 服务器)。
在“疑难解答 URL”部分中,键入可以从受限网络访问的网页(当用户正在修正时您希望他们看到该网页)的链接。
为便携式计算机创建不符合网络策略:
在“概述”选项卡上,选择“已启用策略”。
在“概述”选项卡上,选择访问权限“授予访问权限。如果连接请求满足此策略,则授予访问权限”。
在“条件”选项卡上,添加条件“计算机组”,单击“添加组”,选择包含应具有受限的网络访问权限(如不符合)的所有便携式计算机的组。单击您刚才选择的组,单击“确定”,然后单击“确定”以关闭“计算机组”对话框。
在“条件”选项卡上,添加条件“健康策略”,选择先前创建的“不符合”健康策略,然后单击“确定”。
在“约束”选项卡上,仅为 DHCP 和 IPsec 强制单击“仅执行计算机健康检查”。注意,如果使用 VPN 或 802.1X 作为强制机制,则不应选择此设置。
在“设置”选项卡上,单击“网络访问保护”部分下的“NAP 强制”,然后单击“允许受限访问”。
在“设置”选项卡上,单击“NAP 强制”,单击“修正服务器组和疑难解答 URL”部分中的“配置”,并在“修正服务器组和疑难解答 URL”对话框中指定下列设置,然后单击“确定”:
在“修正服务器组”部分中,选择先前创建的修正服务器组,该服务器组包含基础结构服务器(如 DNS 服务器)。
在“疑难解答 URL”部分中,键入可以从受限网络访问的网页(当用户正在修正时您希望他们看到该网页)的链接。
将便携式计算机的不符合网络策略排列在台式计算机的不符合网络策略前面。
在联系不到当地的支持人员时,不符合的计算机会在有限时间内拥有完全的网络访问权限,而不是受限的访问权限。
创建仅在凌晨 2 点至 4 点的有限时间内允许完全的网络访问权限的不符合网络策略:
在“概述”选项卡上,选择“已启用策略”。
在“概述”选项卡上,选择访问权限“授予访问权限。如果连接请求满足此策略,则授予访问权限”。
在“条件”选项卡上,添加条件“日期和时间限制”,选择“2am-4am”,单击“允许”,然后单击“确定”。
在“条件”选项卡上,添加条件“健康策略”,选择先前创建的“不符合”健康策略,然后单击“确定”。
在“约束”选项卡上,仅为 DHCP 和 IPsec 强制单击“仅执行计算机健康检查”。注意,如果使用 VPN 或 802.1X 作为强制机制,则不应选择此设置。
在“设置”选项卡上的“网络访问保护”部分之下,单击“NAP 强制”,然后单击“在有限时间内允许完全的网络访问权限”,然后使用“日期”和“时间”选项来设置当计算机的健康状况保持为不符合时,何时应具有受限的网络访问权限。
在“设置”选项卡上,单击“NAP 强制”,单击“修正服务器组和疑难解答 URL”部分中的“配置”,并在“修正服务器组和疑难解答 URL”对话框中指定下列设置,然后单击“确定”:
在“修正服务器组”部分中,选择先前创建的修正服务器组,该服务器组包含基础结构服务器(如 DNS 服务器)。
在“疑难解答 URL”部分中,键入可以从受限网络访问的网页(当用户正在修正时您希望他们看到该网页)的链接。
确保此策略排列在没有日期和时间限制条件的不符合策略前面。
不检查指定计算机的 Configuration Manager 健康状况。这适用于不应在选择的计算机上安装 Configuration Manager 客户端的情况。
创建不引用 Configuration Manager 系统健康验证程序,但包含您正在使用的其他系统健康验证程序的新健康策略。
创建新的网络策略:
在“概述”选项卡上,选择“已启用策略”。
在“概述”选项卡上,选择访问权限“授予访问权限。如果连接请求满足此策略,则授予访问权限”。
在“条件”选项卡上,添加条件“计算机组”,单击“添加组”,选择包含不能安装 Configuration Manager 客户端的所有计算机的 Windows 组。单击您刚才选择的组,单击“确定”,然后单击“确定”以关闭“计算机组”对话框。
在“条件”选项卡上,添加条件“健康策略”,选择未引用 Configuration Manager 系统健康验证程序的新健康策略,然后单击“确定”。
在“约束”选项卡上,仅为 DHCP 和 IPsec 强制单击“仅执行计算机健康检查”。注意,如果使用 VPN 或 802.1X 作为强制机制,则不应选择此设置。
在“设置”选项卡上,单击“网络访问保护”部分之下的“NAP 强制”,单击“允许完全的网络访问权限”,然后单击“确定”。
将此网络策略排列在引用 Configuration Manager 健康策略的其他任何网络策略前面。
另请参阅
概念
其他资源
为 Configuration Manager 配置网络策略服务器
网络访问保护概述
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。