Фильтрация групповых политик для создания политики внедрения NAP DHCP в Windows Server 2008

ОГЛАВЛЕНИЕ

 

Сетевые политики

Сетевые NAP политики позволяют определять, кто авторизируется на подключение к сети и обстоятельства, при которых они могут или не могут подключиться. Вы видите, что мастер NAP создал три сетевых политики для нашей общей политики NAP:

  • NAP DHCP совместимые Это сетевое правило применяется к машинам, которые соответствуют NAP
  • NAP DHCP несовместимые Это сетевое правило применяется к машинам, которые не соответствуют NAP
  • NAT DHCP без поддержки NAP Это сетевое правило применяется к машинам, которые не способны обрабатывать NAP политики

На следующих трех рисунках показаны Условия и Параметры для каждой из этих политик. Основная разница между этими тремя правилами заключается в уровне доступа, который каждая из этих политик предоставляет клиентам к сети. Для полностью DHCP совместимых клиентов разрешается полный доступ к сети. Для несовместимых или неспособных применить NAP машин предоставляется ограниченный доступ к сети с тем, чтобы они смогли использовать ограниченный доступ к сети для собственного исправления и соответствия требованиям совместимости.

Давайте дважды нажмем на этих правилах и посмотрим, что они собой представляют. Когда вы дважды нажимаете на правиле Свойства несовместимости NAP DHCP, первой вкладкой, которую вы увидите, будет вкладка Обзор. Здесь мы видим, что политика включена, что Разрешение доступа установлено на Предоставлять доступ, и что свойства dial-in для пользователей должны игнорироваться (поскольку DHCP клиенты не дозваниваются до сети). Наконец, здесь видно, что Способ сетевого подключения - это DHCP сервер.

На вкладке Условия вы видите, что политика здоровья NAP DHCP несовместимые будет применяться, когда сетевое правило Свойства несовместимости NAP DHCP будут применимы. Более подробно политики здоровья мы рассмотрим чуть позже.

На странице Ограничения мастер настроил ограничения в сетевой политике. Единственным ограничением будет то, что будет применяться проверка здоровья и не будет никаких дополнительных требований аутентификации.

Нажмите на вкладке Параметры, а затем нажмите по ссылке Внедрение NAP в левой панели диалогового окна. В правой панели вы видите, что мастер настроил уровень доступа, разрешенный для этой сетевой политики. В данном случае мастер настроил политику на Разрешение ограниченного доступа. Ограниченный доступ определяется как доступ только к IP адресам, сетевым IDs и серверам, требующимся для основных сетевых служб и обеспечения исправления. Вы можете добавить элементы путем нажатия кнопки Настроить в рамке Группа серверов исправления и URL диагностики.

Если вы нажмете кнопку Настроить, вы увидите, что группа Сетевые службы, которую мы создали, появится в качестве группы серверов исправления, которая применяется для этой сетевой политики.

Обратите внимание, что на основе нашего выбора в мастере сетевая политика также настраивается на включение авто исправления (Auto remediation), поскольку там стоит галочка в строке Включить автоисправление клиентских компьютеров.