В предыдущей части этой серии статей я показывал, как настраивать валидатор здоровья системы, который проверяет, включен ли брандмауэр Windows на клиенте, запрашивающем доступ к сети. Затем я показал вам, как создавать политики здоровья системы, определяющие, что значит для клиента быть здоровым или нездоровым.
В этой части я покажу вам, как создавать сетевые политики. Сетевые политики – это те политики, которые контролируют, что происходит, когда клиент отвечает требованиям политики здоровья, или что происходит, когда система, запрашивающая доступ к сети, не отвечает этим требованиям. Именно эти политики определяют уровень доступа, который клиент получит к сети.
Начинаем процесс с открытия консоли Network Policy Server и выбора вкладки Сетевые политики. Когда вы это сделаете, посмотрите в панели Подробности, чтобы проверить, есть ли там в настоящее время какие-либо сетевые политики. В моей тестовой системе есть две стандартные сетевые политики, которые включены по умолчанию. Одна из политик – это политика «Подключение к серверу маршрутизации и удаленного доступа Microsoft», а вторая – «Подключение к другим серверам доступа». Я рекомендую отключить эти политики путем нажатия на них правой клавишей и выбора команды «Отключить» из появившегося контекстного меню.
Теперь, когда мы отключили существующие политики, можно создавать новую сетевую политику. Для этого правой клавишей нажимаем на вкладке Сетевые политики и выбираем команду Новая из появившегося контекстного меню. Когда вы это делаете, Windows запустит мастера создания новой сетевой политики.
В первую очередь нужно будет задать название этой политике. Давайте назовем ее Compliant-Full-Access. Имя политики вводится в поле «Название политики», расположенное на первой странице мастера. Оставьте значение «Не определен» для опции «Тип сервера сетевого доступа», как показано на рисунке A, и нажмите Далее.
Рисунок A: Называем политику и жмем Далее
В следующем окне от вас потребуется указать условия, которые будут использоваться этой политикой. Можно нажать кнопку Добавить, чтобы открыть диалоговое окно «Задать условия». Пролистайте различные опции этого диалогового окна, пока не найдете опцию Политики здоровья. Выберите эту опцию и нажмите кнопку Добавить. Когда вы это сделаете, мастер попросит вас выбрать политику здоровья, которая будет внедряться. Выберите опцию «Совместимый» из списка, как показано на рисунке B.
Рисунок B: Выбираем опцию Совместимый из списка политик здоровья
Нажмите OK, чтобы закрыть диалоговое окно Выбор условий и нажмите Далее. После этого Windows отобразит окно мастера «Указание разрешения доступа». Выберите опцию «Предоставить доступ» и нажмите Далее. Выбор опции предоставления доступа не дает пользователям полного доступа к сети. Он лишь означает, что запрос, входящий на политику, может обрабатываться далее.
Теперь у вас должно открыться окно настройки способа аутентификации в мастере. В этом окне представлено несколько опций, каждая из которых соответствует различным способам аутентификации. Примите умолчания, как показано на рисунке C, и нажмите Далее.
Рисунок C: Принимаем способ аутентификации по умолчанию и жмем Далее
Нажмите далее, и у вас появится окно «Настройки ограничения». Мы не собираемся добавлять никаких ограничений для этой политики, поэтому просто нажмите Далее.
Теперь у вас откроется окно мастера «Настройки параметров». На этой странице вы можете указать параметры, которые будут применяться, если компьютеру разрешен доступ. В некоторых предыдущих компоновках Windows Server 2008 требовалось отключать внедрение NAP, чтобы клиентские компьютеры могли получить доступ к сети. В версии RTM параметры NAP внедрения настроены по умолчанию на разрешение доступа. Учитывая это, просто нажимаем Далее.
Теперь у вас должно появиться окно с кратким описанием опций конфигурации, которые вы выбрали для политики. Предположив, что все выглядит правильно, нажимаем Готово, чтобы создать политику.
Итак, мы создали политику для здоровых компьютеров, теперь нам нужно создать подобную политику для машин, которые не отвечают требованиям политики здоровья. Для этого нажимаем правой клавишей на ветви Сетевые политики в древе консоли и выбираем команду Новая из появившегося контекстного меню. В результате Windows откроет теперь уже знакомый мастер создания сетевой политики.
Как и в предыдущем случае для начала нужно задать имя политике, которую мы создаем. Давайте назовем ее Noncompliant-Restricted. И снова задаем значение «Не определен» для опции «Тип сервера сетевого доступа», а затем нажимаем Далее.
Теперь откроется страница мастера «Условия». Когда мы создавали сетевую политику для соответствующих компьютеров, мы создали условия, которым должен был отвечать компьютер в политике соответствия, созданной нами в предыдущей части этой серии статей. Так как данная политика предназначается для несоответствующих машин, нужно проверять, соответствует ли конфигурация клиентского компьютера условиям, определенным в политике «Несоответствующий (NonCompliant)». А именно, нужно проверить и убедиться, что брандмауэр Windows не включен.
Для этого нажимаем кнопку Добавить, и Windows отобразит диалоговое окно «Выбор условий». Выбираем опцию Политики здоровья из списка и нажимаем кнопку Добавить. Теперь выбираем опцию NonCompliant из списка политик здоровья, жмем OK, а затем Далее.
Теперь Windows отобразит страницу мастера «Указание разрешения доступа». Несмотря на то, что мы создаем политику ограничения, тип политики нужно установить в значение «Разрешить доступ». Помните, что это не предоставляет доступ к сети, а скорее позволяет дальнейшую обработку политики.
Жмем Далее, после чего откроется страница мастера «Настройка метода аутентификации». Здесь также принимаем умолчания и нажимаем Далее.
Теперь у нас откроется страница «Настройка ограничений». Здесь нам тоже не нужно настраивать никаких ограничений, поэтому просто жмем Далее.
Сейчас у нас откроется страница «Настройки параметров». До этого момента все шаги создания данной политики были идентичны шагам создания предыдущей политики за исключением указания другой политики. Если бы мы оставили эту политику так, то нездоровые компьютеры смогли бы получать доступ к сети. Но поскольку нас не устраивает такой вариант, нам нужно использовать NAP внедрение, чтобы запретить доступ к сети.
Для этого выбираем вкладку NAP Enforcement, расположенную в списке параметров. После этого откроется панель подробностей с различными опциями внедрения. Выбираем опцию «Разрешить ограниченный доступ», а затем отмечаем опцию «Включить автоисправление клиентских компьютеров (Enable Auto Remediation of Client Computers)». Включаем опцию и отмечаем «Обновлять несоответствующие клиентские компьютеры автоматически». Жмем Далее, а затем Закончить, чтобы создать политику.
В этой статье я показал вам, как создавать сетевые политики для здоровых и нездоровых компьютеров. В следующей части этой серии статей мы завершим настройку сервера.
www.windowsnetworking.com