在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。(说明一下,如果希望直接拒绝客户端从公司的DHCP服务器获得TCP/IP配置,可以选择“拒绝访问”,因为本例中将设置受限访问,所以依然选择了“已授予访问权限”。)(图5)
图5 新建网络策略
我们继续配置,在“配置身份验证方法”页面,取消所有选择,勾选“仅执行计算机健康检查”,取消所有其它选择,点击“下一步”。在“连接请求策略”对话框,点击“否”。在“配置约束”页面,点击“下一步”。在“配置设置”页面,“网络访问保护”,“NAP强制”,选择“允许受限访问”,点击“配置”。在“更新服务器和疑难解答URL”对话框,“更新服务器组”下选择“Windows设置更新服务器组1”,然后点击“确定”。在“自动更新”下,确定未选择“启用客户端计算机的自动更新功能”,然后点击“下一步”。最后,点击“完成”关闭“新建网络策略向导”。做了以上设置后,一旦客户端不满足健康策略,将被放置在受限网络,也就是客户端只能访问到更新服务器组中的服务器(不能访问企业内网的其它服务器),然后进行自动修补的操作。本文中为了测试实验的结果,所以将“启用客户端计算机的自动更新功能“取消了,所以修补的操作将手动完成。(图6)
图6 设置更新服务器
(5).配置DHCP服务器应用网络访问保护
依次点击“开始”→“管理工具”,打开“DHCP”设置窗口。展开“IPv4”,选择“作用域[192.168.1.0] jp.com”,右击选择“属性”。在“作用域[192.168.1.0] jp.com 属性”对话框“网络访问保护”选项卡下,选择“对此作用域启用”,勾选“使用默认网络访问保护配置文件”,点击”确定“。展开“作用域[192.168.1.0] jp.com”,选择“作用域选项”,右击选择“配置选项”。点击“高级”选项卡,在“用户类别”下选择“Default Network Access Protaction Class”(默认的网络访问保护类别)。选择“006 DNS 服务器”,输入“192.168.1.1”,点击”添加“,选择“015 DNS域名”,输入域名,本例为“test.jp.com”,最后点击”确定“。(说明一下,test.jp.com域是不健康的客户端所在的受限访问网络。)(图7)
图7 作用域
