关于网络访问保护中的 NAP 生效日期

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用下列信息来了解 Configuration Manager 2007 网络访问保护 (NAP) 中的生效日期如何影响可以支持 NAP 的客户端，以及将其作为 Configuration Manager NAP 策略属性进行配置时要考虑的注意事项。

到达生效日期时的客户端行为

生效日期是指 Configuration Manager 2007 网络访问保护 (NAP) 策略在支持 NAP 的客户端上变为活动状态的时间，作为默认列显示在“策略”节点中。

此时，客户端将通过验证它是否需要策略中列出的软件更新来评估其符合性状态。如果不符合，则可以通过修正强制实施所需的软件更新，修正成功之前，客户端的网络访问可能受到限制。修正和限制由 Microsoft Windows 网络策略服务器上配置的策略控制。

配置生效日期的注意事项

由于 Configuration Manager 2007 中的网络访问保护是对 Configuration Manager 2007 功能软件更新的补充，通常大多数 Configuration Manager 客户端都将通过软件更新功能安装所需的软件更新。因此对于少数没有通过标准操作过程安装软件更新的计算机而言，将生效日期设置为软件更新部署截止时间之后是一种预防措施。

但是，网络访问保护与软件更新不同，在安装 Configuration Manager NAP 策略中的软件更新之前，它能够限制网络访问（通过在 Windows 网络策略服务器上的策略配置）。

设置紧迫的生效日期有下列两种风险：

• 在修正成功之前有更多客户端的网络访问可能受到限制，从而增加修正服务器（如宿主软件更新的分发点和软件更新点）的负荷。

• 包含所需软件更新的软件更新包可能没有复制到修正分发点。

您可以在 Configuration Manager NAP 策略中将生效日期配置为将来的日期或“尽快”。只有当下列任一条件适用时，才选择“尽快”作为生效日期：

• Windows 网络策略服务器不限制不符合的计算机的网络访问。

• 对于不符合的计算机而言，具有完全网络访问权限面临的风险要比具有受限制的网络访问权限并且软件更新尚未复制到修正分发点时要高。

有关如何配置生效日期的详细信息，请参阅如何设置开始网络访问保护的 NAP 评估的生效日期和时间。

另请参阅

任务

如何在网络访问保护中针对零天攻击配置 Configuration Manager NAP 策略
如何为网络访问保护创建 Configuration Manager NAP 策略
如何设置开始网络访问保护的 NAP 评估的生效日期和时间
如何查看网络访问保护的 Configuration Manager NAP 策略

概念

关于网络访问保护中的 NAP 客户端状态
关于网络访问保护修正
关于网络访问保护中的 Configuration Manager NAP 策略
关于分阶段和加急的网络访问保护部署

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。