Autorizzazione di accesso

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

L'autorizzazione di accesso è configurata nella scheda Panoramica di ogni criterio di rete in Server dei criteri di rete (NPS).

Questa impostazione consente di configurare i criteri per concedere o negare l'accesso agli utenti se le condizioni e i vincoli dei criteri di rete corrispondono alla richiesta di connessione.

Le impostazioni di autorizzazione di accesso hanno l'effetto seguente:

• Concedere l'accesso. L'accesso viene concesso se la richiesta di connessione corrisponde alle condizioni e ai vincoli configurati nei criteri.
• Negare l'accesso. L'accesso viene negato se la richiesta di connessione corrisponde alle condizioni e ai vincoli configurati nei criteri.

L'autorizzazione di accesso viene concessa o negata in base alla configurazione delle proprietà di accesso esterno di ogni account utente.

Nota

Gli account utente e le relative proprietà, ad esempio le proprietà di accesso esterno, vengono configurati nel Utenti e computer di Active Directory o nello snap-in Utenti e gruppi locali di Microsoft Management Console (MMC), a seconda che sia installato Active Directory® Domain Services (AD DS).

L'impostazione dell'account utente Autorizzazione di accesso alla rete, configurata nelle proprietà delle chiamate in ingresso degli account utente, sostituisce l'impostazione dell'autorizzazione di accesso ai criteri di rete. Quando l'autorizzazione di accesso alla rete per un account utente è impostata sull'opzione Controlla l'accesso tramite criteri di rete NPS, l'impostazione delle autorizzazioni di accesso ai criteri di rete determina se all'utente viene concesso o negato l'accesso.

Nota

In Windows Server 2016, il valore predefinito di Autorizzazione di accesso alla rete nelle proprietà delle chiamate in ingresso dell'account utente di Servizi di dominio Active Directory è Controlla accesso tramite criteri di rete NPS.

Quando NPS valuta le richieste di connessione rispetto ai criteri di rete configurati, esegue le azioni seguenti:

• Se le condizioni del primo criterio non corrispondono, NPS valuta i criteri successivi e continua questo processo fino a quando non viene trovata una corrispondenza o tutti i criteri sono stati valutati per una corrispondenza.
• Se vengono soddisfatte le condizioni e i vincoli di un criterio, NPS concede o nega l'accesso, a seconda del valore dell'impostazione Autorizzazione di accesso nei criteri.
• Se le condizioni di un criterio corrispondono ma i vincoli nei criteri non corrispondono, NPS rifiuta la richiesta di connessione.
• Se le condizioni di tutti i criteri non corrispondono, NPS rifiuta la richiesta di connessione.

Ignorare le proprietà di accesso esterno dell'account utente

È possibile configurare i criteri di rete NPS per ignorare le proprietà di accesso esterno degli account utente selezionando o deselezionando la casella di controllo Ignora le proprietà di accesso esterno dell'account utente nella scheda Panoramica di un criterio di rete.

In genere, quando NPS esegue l'autorizzazione di una richiesta di connessione, controlla le proprietà di accesso esterno dell'account utente, in cui il valore dell'impostazione dell'autorizzazione di accesso alla rete può influire sul fatto che l'utente sia autorizzato a connettersi alla rete. Quando si configura NPS per ignorare le proprietà di accesso esterno degli account utente durante l'autorizzazione, le impostazioni dei criteri di rete determinano se all'utente viene concesso l'accesso alla rete.

Le proprietà delle chiamate in ingresso degli account utente contengono quanto segue:

• Autorizzazione di accesso alla rete
• ID chiamante
• Opzioni di callback
• Indirizzo IP statico
• Route statiche

Per supportare più tipi di connessioni per cui NPS fornisce l'autenticazione e l'autorizzazione, potrebbe essere necessario disabilitare l'elaborazione delle proprietà di accesso esterno dell'account utente. Questa operazione può essere eseguita per supportare scenari in cui non sono necessarie proprietà di accesso esterno specifiche.

Ad esempio, le proprietà id chiamante, callback, indirizzo IP statico e route statiche sono progettate per un client che effettua la chiamata a un server di accesso alla rete (NAS), non per i client che si connettono ai punti di accesso wireless. Un punto di accesso wireless che riceve queste impostazioni in un messaggio RADIUS da NPS potrebbe non essere in grado di elaborarle, causando la disconnessione del client wireless.

Quando NPS fornisce l'autenticazione e l'autorizzazione per gli utenti che accedono alla rete aziendale tramite punti di accesso wireless, è necessario configurare le proprietà di accesso esterno per supportare connessioni con accesso esterno (impostando le proprietà di accesso esterno) o wireless (non impostando le proprietà di accesso esterno).

È possibile usare NPS per abilitare l'elaborazione delle proprietà di accesso esterno per l'account utente in alcuni scenari ( ad esempio accesso esterno) e disabilitare l'elaborazione delle proprietà di accesso esterno in altri scenari (ad esempio 802.1X wireless e autenticazione switch).

È anche possibile usare Ignora proprietà di accesso esterno dell'account utente per gestire il controllo di accesso alla rete tramite gruppi e l'impostazione delle autorizzazioni di accesso nei criteri di rete. Quando si seleziona la casella di controllo Ignora le proprietà di accesso esterno dell'account utente, l'autorizzazione di accesso alla rete per l'account utente viene ignorata.

L'unico svantaggio di questa configurazione è che non è possibile usare le proprietà aggiuntive di accesso esterno dell'account utente di ID chiamante, callback, indirizzo IP statico e route statiche.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).