Windows Server 2008 中策略驱动网络访问

核心提示： Active Directory 域和域成员关系用于强制执行网络策略，域成员计算机仅接受来自其他域成员计算机的已验证且安全的通信，Windows Server 2008 中策略驱动网络访问(6)，或者，也可强制要求加密隔离域内的所有通信，NAP 代理—内置于客户端计算机的操作系

Active Directory 域和域成员关系用于强制执行网络策略。域成员计算机仅接受来自其他域成员计算机的已验证且安全的通信。或者，也可强制要求加密隔离域内的所有通信。

由于无需对现有网络基础结构或应用程序进行重大变更，因此“服务器和域隔离”可带来巨大的成本优势。此解决方案筑造起了启用策略的防护屏，不但有助于抵御极具破坏力的网络攻击和对受信任网络资源进行未经授权的访问，并且无需在网络拓扑发生变化时持续进行维护。

网络访问保护

如前所述，“服务器和域隔离”解决方案确保从逻辑上分隔网络上的不同计算机和服务器。它有助于防止对网络进行未经授权的访问，但不能保证已授权的计算机万无一失。

网络访问保护 (NAP) 是 Windows Server 2008 中的一个内置平台，用于确保连接到网络或通过网络通信的计算机达到您所定义的系统运行状况要求(即，安全性和策略合规性)。

即使是授权的用户也会时常成为网络上传播病毒和间谍软件的载体。例如，用户休假时，管理员可能没有对其计算机设置安全要求合规性。如果在此期间发布的强制性补丁程序或签名未能安装到计算机上，则可能会产生严重后果。

跟踪连接到网络的每名用户远远超出了管理员的能力范围。我们需要的是一种自动化工具，可以验证每台联网计算机的运行状况合规性，从而根据中央策略修正所有不合规定的状况。而 NAP 的职责正是如此，以便向您的策略驱动网络访问解决方案添加另一个层。

NAP 代理—内置于客户端计算机的操作系统中(如 Windows Vista®)或单独安装(对于旧版的 Windows 和非 Windows 操作系统)—向网络策略服务器 (NPS) 报告所有合规性方面的问题，该服务器是内置于 Windows Server 2008 中的一个策略引擎。您是在 NPS 中定义每台设备必须遵循的合规性策略。