Разрешение на доступ

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Разрешение на доступ настраивается на вкладке "Обзор " каждой политики в сервере политики сети (NPS).

Этот параметр позволяет настроить политику для предоставления или запрета доступа пользователям, если условия и ограничения политики сети соответствуют запросу на подключение.

Параметры разрешений доступа имеют следующий эффект:

• Предоставление доступа. Доступ предоставляется, если запрос подключения соответствует условиям и ограничениям, настроенным в политике.
• Запретить доступ. Доступ запрещен, если запрос подключения соответствует условиям и ограничениям, настроенным в политике.

Разрешение на доступ также предоставляется или отказано в зависимости от конфигурации свойств абонентского подключения для каждой учетной записи пользователя.

Примечание.

Учетные записи пользователей и их свойства, такие как свойства телефонного подключения, настраиваются в оснастке Пользователи и компьютеры Active Directory или локальной консоли управления майкрософт (MMC) в зависимости от того, установлен ли у вас доменные службы Active Directory® (AD DS).

Параметр разрешения доступа к сети учетной записи пользователя, настроенный в свойствах учетных записей пользователей, переопределяет параметр разрешения доступа к политике сети. Если для учетной записи пользователя задано разрешение доступа к сети с помощью политики сети NPS, параметр разрешения доступа к сетевой политике определяет, предоставлен ли пользователю или запрещен доступ.

Примечание.

В Windows Server 2016 значение по умолчанию для разрешения доступа к сети в свойствах учетной записи пользователя AD DS — управление доступом с помощью политики сети NPS.

Когда NPS оценивает запросы на подключение к настроенным сетевым политикам, он выполняет следующие действия:

• Если условия первой политики не соответствуют, NPS оценивает следующую политику и продолжает этот процесс до тех пор, пока не будет найдено совпадение или все политики были оценены для соответствия.
• Если условия и ограничения политики совпадают, NPS предоставляет или запрещает доступ в зависимости от значения параметра разрешения доступа в политике.
• Если условия соответствия политики, но ограничения в политике не совпадают, NPS отклоняет запрос на подключение.
• Если условия всех политик не соответствуют, NPS отклоняет запрос на подключение.

Игнорировать свойства абонентской записи пользователя

Вы можете настроить политику сети NPS, чтобы игнорировать свойства учетных записей пользователей, выбрав или снимите флажок "Игнорировать свойства абонентской учетной записи пользователя" на вкладке "Обзор " политики сети.

Обычно, когда NPS выполняет авторизацию запроса на подключение, он проверяет свойства учетной записи пользователя, где значение параметра разрешения доступа к сети может повлиять на то, разрешен ли пользователь подключаться к сети. При настройке NPS игнорировать свойства учетных записей пользователей во время авторизации параметры политики сети определяют, предоставляется ли пользователю доступ к сети.

Свойства учетных записей пользователей с телефонным подключением содержат следующее:

• Разрешение сетевого доступа
• Вызывающий идентификатор
• Параметры обратного вызова
• Статический IP-адрес
• Статические маршруты

Чтобы поддерживать несколько типов подключений, для которых NPS предоставляет проверку подлинности и авторизацию, может потребоваться отключить обработку свойств абонентской записи пользователя. Это можно сделать для поддержки сценариев, в которых определенные свойства телефонного подключения не требуются.

Например, свойства вызывающего абонента, обратного вызова, статического IP-адреса и статических маршрутов предназначены для клиента, набирающего подключение к серверу сетевого доступа (NAS), а не для клиентов, подключающихся к точкам беспроводного доступа. Точка беспроводного доступа, которая получает эти параметры в сообщении RADIUS от NPS, может не обрабатывать их, что может привести к отключению беспроводного клиента.

Если NPS обеспечивает проверку подлинности и авторизацию для пользователей, которые подключаются и обращаются к сети организации через беспроводные точки доступа, необходимо настроить свойства телефонного подключения для поддержки подключений с телефонным подключением (путем настройки свойств телефонного подключения) или беспроводных подключений (не устанавливая свойства телефонного подключения).

С помощью NPS можно включить обработку свойств телефонного подключения для учетной записи пользователя в некоторых сценариях (например, с телефонным подключением) и отключить обработку свойств телефонного подключения в других сценариях (например, 802.1X беспроводной и аутентификации коммутатора).

Для управления доступом к сети с помощью групп и параметра разрешений доступа к политике сети можно также использовать свойства "Игнорировать учетную запись пользователя". При выборе флажка "Игнорировать свойства телефонного подключения учетной записи пользователя" разрешение на доступ к сети для учетной записи пользователя игнорируется.

Единственным недостатком этой конфигурации является то, что нельзя использовать дополнительные свойства абонентской учетной записи пользователя для вызывающего абонента, обратного вызова, статического IP-адреса и статических маршрутов.

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).