存取權限

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

存取權限在 Network Policy Server (NPS) 中每個網路策略的概述標籤上設置。

透過此設置，您可以將政策設置為在連接請求匹配網路策略的條件和約束時授予或拒絕使用者存取權限。

存取權限設置有以下作用：

• 授與存取權。 如果連線請求與策略中設置的條件和約束匹配，則授予存取權限。
• 拒絕造訪。 如果連線請求與策略中設置的條件和約束匹配，則存取將被拒絕。

存取權限的授予或拒絕也取決於您對每個使用者帳戶的撥入屬性的設置。

注意

使用者帳戶及其屬性（例如撥入屬性）在 Active Directory 使用者和電腦或本機使用者和群組 Microsoft 管理主控台 (MMC) 管理單元中進行設置，視您是否擁有 Active Directory® 網域服務 ( AD DS）已安裝。

在使用者帳戶的撥入屬性上設置的使用者帳戶設置 Network Access Permission 將覆蓋網路原則存取權限設置。 當使用者帳戶的網路存取權限設置為透過 NPS 網路政策控制存取選項時，網路原則存取權限設置將決定是授予或拒絕使用者存取權限。

注意

在 Windows Server 2016 中，AD DS 使用者帳戶撥入屬性中的 Network Access Permission 的預設值為透過 NPS Network Policy 控制存取。

當 NPS 依據設置的網路策略評估連線請求時，它會執行以下操作：

• 如果第一個策略的條件不匹配，NPS 將評估下一個策略，並繼續此流程，直到找到匹配項或已評估所有策略的匹配項。
• 如果策略的條件和約束匹配，NPS 會授予或拒絕存取權限，這取決於策略中存取權限設置的值。
• 如果策略的條件匹配，但策略中的限制不匹配，NPS 會拒絕連線請求。
• 如果所有策略的條件都不匹配，NPS 將拒絕連線請求。

忽略使用者帳戶撥入屬性

您可以透過勾選或清除網路原則的 Overview 標籤上的忽略使用者帳戶撥入屬性勾選框，將 NPS 網路政策設置為忽略使用者帳戶的撥入屬性。

通常，當 NPS 執行連線請求授權時，它會檢查使用者帳戶的撥入屬性，其中網路存取權限設置值會影響使用者是否有權連接到網路。 當您將 NPS 設置為在授權期間忽略使用者帳戶的撥入屬性時，網路原則設置將決定是否授予使用者存取網路的權限。

使用者帳號的撥入屬性包含以下內容：

• 網路存取權限
• 來電顯示
• 回撥選項
• 靜態 IP 位址
• 靜態路由

為了支援 NPS 提供身份驗證和授權的多種類型的連接，可能需要停用使用者帳戶撥入屬性的處理。 這樣做可以支援不需要特定撥入屬性的情境。

例如，主叫方 ID、回撥、靜態 IP 位址和靜態路由屬性是為撥入網路存取伺服器 (NAS) 的使用者端設計的，而不是為連接到無線存取點的使用者端設計的。 從 NPS 接收 RADIUS 訊息中的這些設置的無線存取點可能無法處理它們，這可能會導致無線使用者端中斷連線。

當 NPS 為透過無線存取點撥入和存取機構網路的使用者提供身份驗證和授權時，您必須設置撥入屬性以支援撥入連線（透過設置撥入屬性）或無線連線（透過不設置撥入屬性）。

您可以使用 NPS 在某些方案（例如撥入）中為使用者帳戶啟用撥入屬性處理，並在其他方案（例如 802.1X 無線和驗證交換器）中停用撥入屬性處理。

您也可以使用忽略使用者帳戶撥入屬性透過群組和網路原則上的存取權限設置來管理網路存取控制。 當您勾選忽略使用者帳戶撥入屬性勾選框時，將忽略使用者帳戶的網路存取權限。

此設置的唯一缺點是您無法使用主叫方 ID、回叫、靜態 IP 位址和靜態路由等其他使用者帳戶撥入屬性。

更多 NPS 的詳細資訊，請參閱 Network Policy Server (NPS)。