使用ISA實現用戶級驗證完成篇

前期工做：

　　按照使用ISA實現用戶級驗證一（ [url]http://waringid.blog.51cto.com/65148/49574[/url]）
使用ISA實現用戶級驗證二（ [url]http://waringid.blog.51cto.com/65148/49588[/url]）
設置好相關參數，如今開始配置ISA2006．在本文中設置＂ test_it_dept＂下的全部用戶均可以經過代理上網，可是不容許＂ test\administrator＂訪問Google這個網站．

一：設置ISA的外網卡能經過DHCP獲取IP

　　 打開ISA2006，選擇＂查看＂－＂顯示系統策略＂，加入外網網絡，加入後的結果如圖示：

二：創建測試用戶集

　　 選擇最右邊的面板－＂工具箱＂－＂用戶＂－＂新建＂
　　＂Test it Dept＂包括用戶zshan，isaadmin；
　　＂Domain Test User＂包括用戶administrator

三：創建測試域名集

　　 選擇最右邊的面板－＂工具箱＂－＂域名集＂－＂新建＂

四：新建內部訪問外網的訪問策略

　　 選取左邊面板的＂防火牆策略＂，在右邊面板上新建訪問策略，新建容許內部網絡訪問外部網絡的策略．具體參數如圖示：

五：新建禁止administrator訪問google.com網站策略

　　 注意：每新增長一條策略，要點＂應用＂才能生效
　　方法同上所示，如圖：

六：測試結果

　　 以administrator登錄的結果

　　 以isaadmin登錄的狀況

PS： 全部的硬件防火牆在使用基於用戶級認證的功能時都不能解決一個用戶名在多臺計算機上登錄的狀況．因此使用軟件＋硬件結合的方式比較好控制．由於使用軟件ISA的方法，用戶的驗證是在系統登錄時進行的，因此只需控制系統登錄的事件就能夠了，在AD的用戶中有設置＂登錄到．．＂這個選項，能夠設定每一個用戶只能登錄到哪些計算機或是肯定爲哪一臺．固然，若是有更好的方法但願你們一塊兒討論．