Freigeben über


Zugriffsberechtigung

Sie können die Zugriffsberechtigung auf der Registerkarte Übersicht jeder Netzwerkrichtlinie im Netzwerkrichtlinienserver (NPS) konfigurieren.

Mit dieser Einstellung können Sie die Richtlinie so konfigurieren, dass den Benutzern der Zugriff gewährt oder verweigert wird, wenn die Bedingungen und Einschränkungen der Netzwerkrichtlinie von der Verbindungsanforderung erfüllt werden.

Die Einstellungen für die Zugriffsberechtigung haben die folgenden Auswirkungen:

  • Gewähren des Zugriffs. Der Zugriff wird gewährt, wenn die Verbindungsanforderung die Bedingungen und Einschränkungen erfüllt, die in der Richtlinie konfiguriert sind.
  • Verweigern des Zugriffs. Der Zugriff wird verweigert, wenn die Verbindungsanforderung die Bedingungen und Einschränkungen erfüllt, die in der Richtlinie konfiguriert sind.

Die Zugriffsberechtigung wird auch basierend auf der Konfiguration der Einwähleigenschaften der einzelnen Benutzerkonten gewährt oder verweigert.

Hinweis

Benutzerkonten und ihre Eigenschaften, wie die Einwähleigenschaften, können Sie entweder im Snap-In „Active Directory-Benutzer und -Computer“ oder im Snap-In „Lokale Benutzer und Gruppen“ der Microsoft Management Console (MMC) konfigurieren, je nachdem, ob Sie Active Directory® Domain Services (AD DS) installiert haben.

Die Benutzerkonto-Einstellung Netzwerkzugriffsberechtigung, die in den Einwähleigenschaften von Benutzerkonten konfiguriert wird, überschreibt die Einstellung für die Netzwerkrichtlinien-Zugriffsberechtigung. Wenn die Netzwerkzugriffsberechtigung eines Benutzerkontos auf Zugriff über NPS-Netzwerkrichtlinien steuern festgelegt ist, bestimmt die Einstellung für die Netzwerkrichtlinien-Zugriffsberechtigung, ob dem Benutzer der Zugriff gewährt oder verweigert wird.

Hinweis

In Windows Server 2016 ist der Standardwert für Netzwerkzugriffsberechtigung in den Einwähleigenschaften des AD DS-Benutzerkontos Zugriff über NPS-Netzwerkrichtlinien steuern.

Wenn der NPS Verbindungsanforderungen mit den konfigurierten Netzwerkrichtlinien abgleicht, führt er die folgenden Aktionen durch:

  • Wenn die Bedingungen der ersten Richtlinie nicht erfüllt werden, wertet der NPS die nächste Richtlinie aus. Dieser Vorgang wird fortgesetzt, bis entweder eine Übereinstimmung erkannt wird oder alle Richtlinien ausgewertet wurden.
  • Wenn die Bedingungen und Einschränkungen einer Richtlinie erfüllt werden, gewährt bzw. verweigert der NPS den Zugriff, je nachdem, welcher Wert für die Einstellung „Zugriffsberechtigung“ in der Richtlinie festgelegt wurde.
  • Wenn die Bedingungen einer Richtlinie erfüllt werden, die Einschränkungen dagegen nicht, weist der NPS die Verbindungsanforderung zurück.
  • Wenn die Bedingungen aller Richtlinien nicht erfüllt werden, weist der NPS die Verbindungsanforderung zurück.

Benutzerkonto-Einwähleigenschaften ignorieren

Sie können die NPS-Netzwerkrichtlinie so konfigurieren, dass sie die Einwähleigenschaften von Benutzerkonten ignoriert. Dazu aktivieren bzw. deaktivieren Sie auf der Registerkarte Übersicht das Kontrollkästchen Benutzerkonto-Einwähleigenschaften ignorieren.

Bei der Autorisierung einer Verbindungsanforderung überprüft der NPS normalerweise die Einwähleigenschaften des Benutzerkontos, bei denen der Wert für die Netzwerkzugriff-Berechtigungseinstellung beeinflusst, ob der Benutzer dazu autorisiert ist, eine Verbindung mit dem Netzwerk herzustellen. Wenn Sie den NPS so konfigurieren, dass die Einwähleigenschaften von Benutzerkonten bei der Autorisierung ignoriert werden, bestimmen die Netzwerkrichtlinieneinstellungen, ob dem Benutzer der Zugriff auf das Netzwerk gewährt wird.

Die Einwähleigenschaften von Benutzerkonten enthalten die folgenden Elemente:

  • Netzwerkzugriffsberechtigung
  • Anrufer-ID
  • Rückrufoptionen
  • Statische IP-Adresse
  • Statische Routen

Damit mehrere Verbindungstypen unterstützt werden, für die der NPS die Authentifizierung und Autorisierung bereitstellt, müssen Sie möglicherweise die Verarbeitung der Einwähleigenschaften von Benutzerkonten deaktivieren. Dies ist beispielsweise der Fall, wenn Sie Szenarien unterstützen müssen, in denen bestimmte Einwähleigenschaften nicht erforderlich sind.

Die Eigenschaften „Anrufer-ID“, „Rückruf“, „Statische IP-Adresse“ und „Statische Routen“ sind z. B. auf einen Client ausgelegt, der sich bei einem Netzwerkzugriffsserver (NAS) einwählt, aber nicht auf Clients, die sich mit Drahtloszugriffspunkten verbinden. Ein Drahtloszugriffspunkt, der diese Einstellungen in einer RADIUS-Meldung empfängt, kann sie möglicherweise nicht verarbeiten, was die Verbindung des drahtlosen Clients trennen kann.

Wenn der NPS die Authentifizierung und Autorisierung für Benutzer, die sich einwählen, und für Benutzer, die über Drahtloszugriffspunkte auf Ihr Unternehmensnetzwerk zugreifen, bereitstellt, müssen Sie die Einwähleigenschaften so konfigurieren, dass entweder Einwahlverbindungen (indem Sie Einwähleigenschaften festlegen) oder drahtlose Verbindungen (indem Sie keine Einwähleigenschaften festlegen) unterstützt werden.

Sie können mit NPS die Verarbeitung der Einwähleigenschaften eines Benutzerkontos in bestimmten Szenarien (z. B. Einwahl) aktivieren und in anderen Szenarien (z. B. 802.1X drahtlos und Authentifizierungsswitch) deaktivieren.

Mit der Option Benutzereinwähleigenschaften ignorieren können Sie die Netzwerkzugriffskontrolle auch über Gruppen und die Zugriffsberechtigungseinstellung in der Netzwerkrichtlinie verwalten. Wenn Sie das Kontrollkästchen Benutzereinwähleigenschaften ignorieren aktivieren, wird die Netzwerkzugriffsberechtigung des Benutzerkontos ignoriert.

Der einzige Nachteil dieser Konfiguration besteht darin, dass Sie die zusätzlichen Einwähleigenschaften „Anrufer-ID“, „Rückruf“, „Statische IP-Adresse“ und „Statische Routen“ des Benutzerkontos nicht verwenden können.

Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).