Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Toegangsmachtigingen worden geconfigureerd op het tabblad Overzicht van elk netwerkbeleid in NPS (Network Policy Server).
Met deze instelling kunt u het beleid zo configureren dat gebruikers toegang verlenen of weigeren als de voorwaarden en beperkingen van het netwerkbeleid overeenkomen met de verbindingsaanvraag.
Instellingen voor toegangsmachtigingen hebben het volgende effect:
- Toegang verlenen. Toegang wordt verleend als de verbindingsaanvraag overeenkomt met de voorwaarden en beperkingen die in het beleid zijn geconfigureerd.
- Toegang weigeren. Toegang wordt geweigerd als de verbindingsaanvraag overeenkomt met de voorwaarden en beperkingen die in het beleid zijn geconfigureerd.
Toegangsmachtigingen worden ook verleend of geweigerd op basis van hoe u de inbel-eigenschappen van de gebruikersaccounts configureert.
Note
Gebruikersaccounts en hun eigenschappen, zoals inbeleigenschappen, worden geconfigureerd in de Module Active Directory: gebruikers en computers of de MMC-module (Local Users and Groups Microsoft Management Console), afhankelijk van of u Active Directory® Domain Services (AD DS) hebt geïnstalleerd.
De gebruikersaccountinstelling Netwerktoegangsmachtiging, die is geconfigureerd bij de inbel-eigenschappen van gebruikersaccounts, overschrijft de toegangsmachtigingsinstelling van het netwerkbeleid. Wanneer de machtiging voor netwerktoegang voor een gebruikersaccount is ingesteld op de optie Toegang beheren via NPS-netwerkbeleid , bepaalt de machtigingsinstelling voor netwerkbeleid of de gebruiker toegang wordt verleend of geweigerd.
Note
In Windows Server 2016 zijn de standaardwaarden voor netwerktoegangsrechten in de inbeleigenschappen van het AD DS-gebruikersaccount de toegang beheren via NPS-netwerkbeleid.
Wanneer NPS verbindingsaanvragen evalueert op basis van geconfigureerd netwerkbeleid, worden de volgende acties uitgevoerd:
- Als de voorwaarden van het eerste beleid niet overeenkomen, evalueert NPS het volgende beleid en wordt dit proces voortgezet totdat een overeenkomst wordt gevonden of alle beleidsregels zijn geëvalueerd voor een overeenkomst.
- Als de voorwaarden en beperkingen van een beleid overeenkomen, verleent NPS toegang of weigert deze, afhankelijk van de waarde van de instelling Toegangsmachtiging in het beleid.
- Als de voorwaarden van een beleidsovereenkomst maar de beperkingen in het beleid niet overeenkomen, weigert NPS de verbindingsaanvraag.
- Als de voorwaarden van alle beleidsregels niet overeenkomen, weigert NPS de verbindingsaanvraag.
Inbeleigenschappen van gebruikersaccount negeren
U kunt NPS-netwerkbeleid configureren om de inbeleigenschappen van gebruikersaccounts te negeren door het selectievakje Inbeleigenschappen van gebruikersaccounts negeren in of uit te schakelen op het tabblad Overzicht van een netwerkbeleid.
Normaal gesproken voert NPS een autorisatiecontrole uit van een verbindingsaanvraag door de inbelinstellingen van het gebruikersaccount te controleren, waarbij de waarde van de netwerktoegangsinstelling van invloed kan zijn op of de gebruiker is gemachtigd om verbinding te maken met het netwerk. Wanneer u NPS configureert om de inbeleigenschappen van gebruikersaccounts tijdens de autorisatie te negeren, bepalen de netwerkbeleidsinstellingen of de gebruiker toegang krijgt tot het netwerk.
De inbel-eigenschappen van de gebruikersaccounts bevatten het volgende:
- Machtiging voor netwerktoegang
- Caller-ID
- Opties voor terugbellen
- Statisch IP-adres
- Statische routes
Als u meerdere typen verbindingen wilt ondersteunen waarvoor NPS verificatie en autorisatie biedt, kan het nodig zijn om de verwerking van inbeleigenschappen van gebruikersaccounts uit te schakelen. Dit kan worden gedaan ter ondersteuning van scenario's waarin specifieke inbeleigenschappen niet vereist zijn.
De eigenschappen voor nummerweergave, callback, statisch IP-adres en statische routes zijn bijvoorbeeld ontworpen voor een client die inbelt bij een netwerktoegangsserver (NAS), niet voor clients die verbinding maken met draadloze toegangspunten. Een draadloos toegangspunt dat deze instellingen in een RADIUS-bericht van NPS ontvangt, kan deze mogelijk niet verwerken, waardoor de draadloze client wordt verbroken.
Wanneer NPS verificatie en autorisatie biedt voor gebruikers die zowel inbellen als toegang hebben tot uw organisatienetwerk via draadloze toegangspunten, moet u de inbeleigenschappen configureren ter ondersteuning van inbelverbindingen (door inbeleigenschappen in te stellen) of draadloze verbindingen (door geen inbeleigenschappen in te stellen).
U kunt NPS gebruiken om verwerking van inbeleigenschappen in te schakelen voor het gebruikersaccount in sommige scenario's (zoals inbellen) en om verwerking van inbeleigenschappen in andere scenario's uit te schakelen (zoals draadloze 802.1X-schakelaar en verificatieschakelaar).
U kunt ook inbeleigenschappen van gebruikersaccounts negeren gebruiken om netwerktoegangsbeheer te beheren via groepen en de instelling voor toegangsmachtigingen voor het netwerkbeleid. Wanneer u het selectievakje Inbeleigenschappen van gebruikersaccount negeren inschakelt, wordt de machtiging voor netwerktoegang voor het gebruikersaccount genegeerd.
Het enige nadeel van deze configuratie is dat u geen gebruik kunt maken van de extra inbelopties van gebruikersaccounts, zoals nummerweergave, terugbellen, een statisch IP-adres en statische routes.
Zie NETWORK Policy Server (NPS)voor meer informatie over NPS.