Разрешения на доступ настраиваются на вкладке Обзор для каждой сетевой политики на сервере политики сети. Разрешения на доступ позволяют настроить в политике предоставление или запрет доступа для пользователей в том случае, если запрос на подключение соответствует условиям и ограничениям сетевой политики. Параметры прав доступа определяют поведение сервера следующим образом:

  • Разрешение доступа к узлу. Если запрос на подключение соответствует настроенным в политике условиям и ограничениям, доступ будет предоставлен.

  • Запретить доступ. Если запрос на подключение соответствует настроенным в политике условиям и ограничениям, доступ будет запрещен.

Доступ также можно предоставить или запретить с использованием свойств удаленного доступа отдельных учетных записей пользователей.

Примечание

Учетные записи пользователей вместе со своими свойствами, такими как свойства удаленного доступа, настраиваются в оснастке Active Directory "Пользователи и компьютеры" либо в оснастке консоли управления (MMC) "Локальные пользователи и группы" в зависимости от того, установлены ли доменные службы Active Directory.

Параметр учетной записи пользователя Права доступа к сети, который настраивается в свойствах удаленного доступа учетной записи пользователя, переопределяет действие параметра прав доступа политики сети. Если в отношении прав доступа к сети в учетной записи пользователя выбирается параметр Управление доступом на основе политики сети NPS, предоставление или запрет доступа для пользователя определяется параметром прав доступа политики сети.

При проверке запросов на подключение по настроенным сетевым политикам сервер политики сети выполняет следующие действия:

  • Если соответствие условиям первой политики не выявлено, сервер политики сети переходит к следующей политике. Эта процедура выполняется до тех пор, пока не будет выявлено соответствие или не будут проверены все политики.

  • Если выявлено соответствие условиям и ограничениям политики, сервер политики сети предоставляет доступ или запрещает его в зависимости от значения параметра Права доступа в этой политике.

  • Если запрос на подключение соответствует условиям политики, однако не соответствует ее ограничениям, сервер политики сети отклоняет данный запрос на подключение.

  • Если запрос на подключение не соответствует условиям ни одной из политик, сервер политики сети отклоняет его.

Игнорирование свойств удаленного доступа учетной записи пользователя

Сетевую политику на сервере политики сети можно настроить таким образом, чтобы свойства удаленного доступа учетных записей пользователей игнорировались. Для этого следует установить или снять флажок Игнорировать свойства удаленного доступа учетной записи пользователя на вкладке Обзор сетевой политики. Как правило, при выполнении сервером политики сети авторизации запроса на подключение сервер проверяет свойства удаленного доступа учетной записи пользователя, в которых параметр права доступа к сети может повлиять на авторизацию подключения этого пользователя к сети. Если на сервере политики сети настроено игнорирование свойств удаленного доступа учетных записей пользователей при выполнении авторизации, предоставление пользователю доступа к сети определяется параметрами политики сети.

Свойства удаленного доступа учетных записей пользователей содержат следующие сведения:

  • Права доступа к сети

  • Идентификатор вызывающей стороны

  • Ответный вызов сервера

  • Статическая IP-адресация

  • Статические маршруты

С целью поддержки нескольких типов подключений, для которых сервер политики сети обеспечивает проверку подлинности и авторизацию, может возникнуть необходимость отключить обработку свойств удаленного доступа в учетной записи пользователя. Это позволит предоставить поддержку сценариев, в которых конкретные свойства удаленного доступа не требуются.

Например, свойства «Идентификатор вызывающей стороны», «Ответный вызов», «Статический IP-адрес» и «Статические маршруты» предназначены для клиентского компьютера, выполняющего удаленное подключение к серверу доступа к сети. Они не используются для клиентских компьютеров, подключающихся к точкам беспроводного доступа. Точка беспроводного доступа, которая получает эти параметры в RADIUS-сообщении от сервера политики сети, не всегда может обработать их, что может привести к отключению беспроводного клиента.

Если сервер политики сети обеспечивает проверку подлинности и авторизацию для пользователей, которые подключаются к сети организации как по телефонной связи, так и через беспроводные точки доступа, свойства удаленного доступа должны быть настроены таким образом, чтобы обеспечить поддержку либо подключений удаленного доступа (то есть свойства удаленного доступа должны быть настроены), либо беспроводных подключений (в этом случае свойства удаленного доступа не настраиваются).

Можно включить на сервере политики сети обработку свойств удаленного доступа для учетных записей пользователей в некоторых сценариях (например сценариях удаленного доступа), одновременно отключив обработку свойств удаленного доступа в других сценариях (например при подключении через точки беспроводного доступа или коммутаторы с проверкой подлинности на базе порта 802.1X).

Для управления доступом к сети с использованием групп и параметром прав доступа в политике сети также можно использовать параметр Игнорировать свойства удаленного доступа учетной записи пользователя. Если флажок Игнорировать свойства удаленного доступа учетной записи пользователя установлен, разрешения на доступ к сети в учетной записи пользователя игнорируются.

Единственный недостаток такой конфигурации состоит в том, что в ней нельзя использовать дополнительные свойства удаленного доступа учетной записи пользователя, такие как идентификатор вызывающей стороны, ответный вызов сервера, статический IP-адрес и статические маршруты.