Проблема с правилом сетевой политики на сервере сетевой политики
Попытка настроить RADIUS для сети колледжа и столкнулась со следующим разочарованием:
Я не могу установить условие «И» для членства в группе аутентифицированных объектов в правилах сетевой политики, например Я пытаюсь создать правило NPS, которое гласит: «ЕСЛИ пользователь является членом [список групп пользователей] И аутентифицируется с компьютера в [группа беспроводных компьютеров], затем разрешает доступ.
Снимок экрана выше - это правило, с которым у меня возникли проблемы. Это не работает как написано. Правило под ним, которое идентично во всех аспектах, кроме правила условий, действительно работает.
Я попытался изменить нерабочее правило, чтобы определить каждый набор групп как «группу Windows», а не конкретно как группы компьютеров и пользователей, без изменений.
При включенном "неисправном" правиле и отключенном рабочем, любая попытка войти в систему с действующей учетной записью с машины, которая находится в группе беспроводных компьютеров, приводит к событию аудита 6273 в журнале событий Windows: Код причины 66 - "попытка пользователя использовать метод проверки подлинности, который не включен в соответствующей сетевой политике ". Отключение «ошибочного» правила, включение другого правила и вход в систему с той же учетной записью и компьютером работают нормально.
На вкладке условий вместо добавления всех групп в одно правило условия добавьте группу к каждому правилу / строке. По сути, добавьте группу пользователей, затем нажмите «Добавить», сделайте это еще раз, и у вас будет список «групп пользователей» в столбце условий. Когда вы добавляете все группы в одну строку условия, они по умолчанию используют OR.
то, что вы описываете, звучит как связанная аутентификация. это означает, что пользователь не может успешно пройти аутентификацию через 802.1x, если сначала у него не будет действующего машинного сеанса. Если это то, что вам нужно сделать, это обычно выполняется на WLC, в отличие от Radius, по моему опыту.