存取權限

適用于: Windows server 2022、Windows Server 2019、Windows Server 2016

您可以在網路原則伺服器 (NPS) 的每個網路原則的 [ 總覽 ] 索引標籤上設定 [存取權限]。

如果連線要求符合網路原則的條件和條件約束,此設定可讓您設定原則,以授與或拒絕使用者的存取權。

存取權限設定可產生下列結果:

  • 授與存取權。 如果連線要求符合原則中設定的條件與限制,就會授與存取權。
  • 拒絕存取。 如果連線要求符合原則中設定的條件與限制,就會拒絕存取。

系統也會根據您設定每個使用者帳戶的撥入屬性來授與或拒絕存取權限。

注意

使用者帳戶及其屬性(例如撥入內容)會 ( ) 根據您是否已 ® 安裝 Active Directory 網域服務 (AD DS,在 [Active Directory 消費者和電腦] 或 [本機使用者和群組] Microsoft Management Console MMC 嵌入式管理單元中設定。

使用者帳戶設定 網路存取權限(設定于使用者帳戶的撥入內容)會覆寫網路原則存取權限設定。 當使用者帳戶的網路存取權限設定為 [ 透過 NPS 網路原則控制存取 ] 選項時,網路原則存取權限設定會決定使用者是否被授與或拒絕存取。

注意

在 Windows Server 2016 中,AD DS 使用者帳戶撥入內容中 網路存取權限 的預設值是 透過 NPS 網路原則控制存取權

當 NPS 根據設定的網路原則來評估連線要求時,它會執行下列動作:

  • 如果與第一個原則的條件不符,NPS 會評估下一個原則,並繼續此程序,直到找到符合的項目或評估完所有的原則為止。
  • 如果原則的條件和條件約束相符,NPS 會根據原則中的存取權限設定值,授與或拒絕存取權。
  • 如果原則的條件符合,但在原則中的限制不符,NPS 會拒絕連線要求。
  • 如果所有原則的條件都不符,NPS 會拒絕連線要求。

略過使用者帳戶撥入內容

您可以在網路原則的 [總覽] 索引標籤上,選取或清除 [略過使用者帳戶撥 入內容] 核取方塊,將 NPS 網路原則設定為略過使用者帳戶的撥入屬性。

一般而言,當 NPS 執行連線要求的授權時,它會檢查使用者帳戶的撥入內容,其中網路存取權限設定值會影響是否授權使用者連線到網路。 當您設定 NPS 在授權期間略過使用者帳戶的撥入內容時,網路原則設定會決定是否授權使用者存取網路。

使用者帳戶的撥入內容包含下列項目:

  • 網路存取權限
  • 撥號者識別碼
  • 回撥選項
  • 靜態 IP 位址
  • 靜態路由

若要支援 NPS 提供驗證與授權的多種連線,可能需要停用使用者帳戶撥入內容處理。 這麼做可以支援不需要特定撥入內容的情況。

例如,呼叫者識別碼、回呼、靜態 IP 位址和靜態路由屬性是針對撥入網路存取伺服器 NAS 的用戶端所設計 ( ,而不是 ) 針對連線到無線存取點的用戶端所設計。 從 NPS 的 RADIUS 訊息接收這些設定的無線存取點可能無法處理這些設定,這可能會導致無線用戶端中斷連線。

當 NPS 提供驗證和授權給同時透過無線存取點撥入和存取您的組織網路的使用者時,您必須設定撥入內容或無線連線,藉由設定撥入內容或無線連線,將撥入屬性設定為支援撥號連線 ( ) ( ) 。

在某些情況下,您可以使用 NPS 啟用使用者帳戶的撥入內容處理 ( ) ,以及在其他案例中 ( (例如 802.1 x 無線和驗證交換器)停用撥入屬性處理 ) 。

您也可以使用 [ 略過使用者帳戶撥入 內容],透過群組和網路原則上的存取權限設定來管理網路存取控制。 當您選取 [ 略過使用者帳戶撥入 內容] 核取方塊時,會忽略使用者帳戶的網路存取權限。

這個設定的唯一缺點是您無法使用撥號者識別碼、回撥、靜態 IP 位址以及靜態路由等其他使用者帳戶撥入內容。

如需有關 NPS 的詳細資訊,請參閱 網路原則伺服器 (nps)