Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung des Themas – August 2007

Wenn Sie den Netzwerkrichtlinienserver für den Netzwerkzugriffsschutz konfigurieren, müssen Sie drei Netzwerkrichtlinien konfigurieren:

Sie können entweder vorhandene Netzwerkrichtlinien ändern oder neue Richtlinien für Configuration Manager erstellen:

  • Zum Erstellen neuer Netzwerkrichtlinien erweitern Sie in der Netzwerkrichtlinienserver-Konsole den Knoten Richtlinien. Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinien, und klicken Sie dann auf Neu, um den Assistenten für neue Netzwerkrichtlinien zu starten.

  • Zum Ändern von vorhandenen Netzwerkrichtlinien erweitern Sie in der Netzwerkrichtlinienserver-Konsole den Knoten Richtlinien. Klicken Sie auf Netzwerkrichtlinien, und klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die Richtlinie, die geändert werden soll. Klicken Sie dann auf Eigenschaften. Sie können eine vorhandene Richtlinie als Vorlage verwenden, indem Sie mit der rechten Maustaste auf die ursprüngliche Richtlinie und dann auf die Option zum Duplizieren der Richtlinieklicken. Klicken Sie mit der rechten Maustaste auf die ausgewählte duplizierte Richtlinie, und klicken Sie dann auf Eigenschaften.

Im folgenden Abschnitt werden die Eigenschaften aufgelistet, die sich auf den Netzwerkzugriffsschutz im Configuration Manager beziehen und die bei einer Netzwerkrichtlinie konfiguriert werden müssen.

Netzwerkrichtlinie „Kompatibel“

  • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

  • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

  • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die zuvor erstellte Integritätsrichtlinie Kompatibel aus, und klicken Sie dann auf OK.

  • Klicken Sie auf der Registerkarte Einschränkungen, allerdings nur für die DHCP- und IPsec-Erzwingung, auf Nur Integritätsprüfung für Computer ausführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

  • Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Netzwerkzugriffsschutz auf NAP-Erzwingung, dann auf Vollständigen Netzwerkzugriff gewähren und schließlich auf OK.

Netzwerkrichtlinie „Nicht kompatibel“

  • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

  • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

  • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Integritätsrichtlinien hinzu, wählen Sie die zuvor erstellte Richtlinie Nicht kompatibel aus, und klicken Sie dann auf OK.

  • Klicken Sie auf der Registerkarte Einschränkungen, allerdings nur für die DHCP- und IPsec-Erzwingung, auf Nur Integritätsprüfung für Computer ausführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

  • Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Netzwerkzugriffsschutz auf NAP-Erzwingung, und klicken Sie dann auf eine der folgenden Optionen:

    • Vollen Netzwerkzugriff für begrenzte Zeit zulassen. Legen Sie dann über die Optionen Datum und Uhrzeit fest, wann Computer begrenzten Netzwerkzugriff erhalten sollen, wenn ihr Integritätszustand „Nicht kompatibel“ bleibt.

    • Begrenzten Zugriff zulassen. Wählen Sie diese Option aus, wenn nicht kompatible Computer sofort beschränkten Zugriff auf das Netzwerk haben sollen.

  • Klicken Sie auf der Registerkarte Einstellungen auf NAP-Erzwingung, klicken Sie im Abschnitt Wiederherstellungsservergruppe und Problembehandlungs-URL auf Konfigurieren, geben Sie im Dialogfeld Wiederherstellungsserver und Problembehandlungs-URL Folgendes ein, und klicken Sie anschließend auf OK:

    • Wählen Sie im Abschnitt Wiederherstellungsservergruppe die zuvor erstellte Wiederherstellungsservergruppe aus, welche Infrastrukturserver wie DNS-Server enthält.

    • Geben Sie im Abschnitt Problembehandlungs-URL den Link zu einer Webseite ein, auf die von einem eingeschränkten Netzwerk aus zugegriffen werden kann und die den Benutzern während einer Wiederherstellung angezeigt werden soll.

noteHinweis
Es ist nicht nötig, im Abschnitt Automatische Wiederherstellung die Option zum Aktivieren der automatischen Wiederherstellung von Clientcomputernauszuwählen. Nicht kompatible Clients werden immer automatisch vom Netzwerkzugriffsschutz im Configuration Manager wiederhergestellt, wenn die Integritätsrichtlinie entweder für Vollen Netzwerkzugriff für begrenzte Zeit zulassen oder Begrenzten Zugriff zulassen konfiguriert ist. Dieses Kontrollkästchen muss aber möglicherweise für Systemintegritäts-Agents und Systemintegritätsprüfungen aktiviert werden, die nicht zum Configuration Manager gehören.

Netzwerkrichtlinie „Nicht NAP-fähig“

  • Wählen Sie auf der Registerkarte Übersicht die Option Richtlinie aktiviert aus.

  • Wählen Sie auf der Registerkarte Übersicht die Zugriffsberechtigung Zugriff gewähren. Zugriff gewähren, wenn die Verbindungsanforderung dieser Richtlinie entspricht aus.

  • Fügen Sie auf der Registerkarte Bedingungen die Bedingung Computer, die NAP unterstützen hinzu, wählen Sie die Option Nur Computer, die NAP nicht unterstützen aus, und klicken Sie dann auf OK.

  • Klicken Sie auf der Registerkarte Einschränkungen, allerdings nur für die DHCP- und IPsec-Erzwingung, auf Nur Integritätsprüfung für Computer ausführen. Diese Einstellung sollte nicht ausgewählt sein, wenn Sie VPN oder 802.1X als Erzwingungsmethode verwenden.

  • Klicken Sie auf der Registerkarte Einstellungen im Abschnitt Netzwerkzugriffsschutz auf NAP-Erzwingung, dann auf Vollständigen Netzwerkzugriff gewähren und schließlich auf OK.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: