Windows Server 2008 使用网络策略控制拨入用户

1.1.1 示例：使用网络策略控制拨入用户

任务：

? 创建新的网络访问策略

? 只允许SalesGroup组中的用户能够通过×××拨入内网

? 只有在工作时间能够通过×××拨入

? 验证不满足网络访问策略设置的条件时用户拨入失败

? 验证用户密码过期后允许拨入用户更改密码

步骤：

1. 在DCServer上，打开Active Directory用户和组管理工具。

2. 在销售部组织单元创建SalesGroup全局组。

3. 创建用户“韩立刚”，登录名为hanLG。

4. 双击该用户，在用户属性对话框的拨入标签下，可以看到默认用户的拨入权限为“通过NPS网络策略控制访问”。

注：如果设置为“允许访问”，则网络策略设置的访问权限默认不再生效，以用户属性设置的网络访问权限为准，如果在网络策略选择了忽略用户帐户的拨入属性，则以网络策略设置的访问权限为准。

5. 在RASServer上，点击“开始”à“程序”à“管理工具”à“网络策略服务器”，打开网络策略服务器管理工具。

6. 点中“网络策略”，可以看到默认的两条策略，且处理顺序为999998和999999，可见优先级默认最低。

7. 双击“到 Microsoft 路由和远程访问服务器的连接”，在出现的策略属性对话框的概述标签下，可以看到访问权限默认为“拒绝”，“忽略用户帐户的拨入属性”默认没有被选中。

8. 在出现的指定网络策略名称和连接类型对话框，输入策略名称“允许销售部的用户在工作时间拨入”，网络连接方法选择“网络访问服务器的类型”，选择“远程访问服务器”，点击“下一步”。

9. 在出现的指定条件对话框，点击“添加”。

10. 在出现的选择条件对话框，选中“用户组”，点击“添加”。

11. 在出现的用户组对话框，点击“添加组”。

12. 在出现的选择组对话框，输入“SalesGroup”，点击“确定”，完成组的添加。

13. 在指定条件对话框，点击“添加”。

14. 在出现的选择条件对话框，点击“日期和时间限制”，点击“添加”。

15. 在出现的日期和时间限制对话框，选定工作时间区域，点击“允许”，点击“确定”。

16. 在指定条件对话框，点击“下一步”。

17. 在出现的指定访问权限对话框，选择“已授予访问权限”，点击“下一步”。

18. 在出现的配置身份验证方法对话框，保持默认选择，点击“下一步”。

注意：使用Microsoft加密身份验证版本1和2，都支持用户密码过期后更改密码。

19. 在出现的配置约束对话框，保持默认设置，点击“下一步”

20. 在出现的配置设置对话框，点中“IP设置”，可以看到能够设置数据包筛选，点击“下一步”。

21. 在出现的正在完成新建网络策略对话框，点击“完成”。

22. 在RemotePC上，使用域用户“hanLG”拨入，点击“连接”。

23. 可以看到能够连接成功。可以断定该连接使用的刚才创建的网络策略。

24. 在DCServer上，将“韩立刚”帐户设置成“用户下次登录时必须更改密码”，点击“确定”。

25. 在RemotePC上，再次使用“hanLG”帐户拨入，出现“更改密码”对话框，输入新密码和确认新密码，点击“确定”。

26. 在服务器RASServer上更改系统时间为非工作时间。

27. 在RemotePC上，再次拨入，出现对话框，提示“由于服务器上配置的某个策略，连接被阻止”。

微软最有价值专家（MVP）从业12年录制500小时16G企业培训视频 视频介绍网址 http://www.91xueit.com