模板
教程
环境
性能
功能
管理
ISA应用企业策略(3)
ISA应用企业策略
练习2:创建继承默认企业策略的新阵列
在这个练习中,您将以新阵列成员的方式在Server2上安装ISA Server。您是以Domain Admins组成员的身份,而不是Enterprise Admins组成员身份登录时,才能进行这个练习。因为您已经将Test Enterprise Policy配置为默认的企业策略,而且没有给Enterprise Admins组授权,您创建的新阵列会自动地继承Test Enterprise Policy设置。安装了新阵列之后,您没有特权来选择是应用一个企业策略,还是决定哪些策略应用到新阵列中。相反,它会自动应用默认的企业策略。
Ø 创建继承企业策略的阵列
1. 在Domain01域中创建1个名为ArrayAdmin的新用户,使ArrayAdmin仅为Enterprise Admins组的成员。也可以使ArrayAdmin成为Domain Users组的成员。
2. 在Server2上以ArrayAdmin的身份登录到Domain01域。
3. 按照安装ISA Server企业版练习,安装ISA Server。
该练习在第2章2.2节的节末。
不需要操作该练习列出的ISA Server企业版初始化,因为您在Server1上安装ISA Server时已经完成了这一步。
4. 如有提示的时候,选择进行完全安装并将服务器安装为阵列成员。
安装过程开始时,会出现Microsoft ISA Server Setup对话框,让您选择是加入MyArray阵列或是创建一个新阵列。
5. 单击New创建一个新阵列。
出现New Array对话框。
6. 在Array Name文本框中,用NewArray代替默认名Server2。
7. 单击OK。
出现Microsoft ISA Server Setup对话框,并且选中了Integrated Mode单选按钮。
8. 单击Continue。
9. 接受ISA Server缓存的默认设置,构建基于内部IP地址范围为192.168.0.0 到192.168.0.255的LAT,完成ISA Server安装。
练习3:测试配置
在这个练习中,您会看到Test Enterprise Policy 设置是怎样影响阵列NewArray的阵列级策略的。
Ø 测试配置
1. 以ArrayAdmin身份从Server2上登录到Domain01域。
2. 打开ISA Management控制台。
在控制台树中,展开Enterprise节点,并展开Policies节点。
3. Test Enterprise Policy节点出现在Policies节点下。
4. 打开Test Enterprise Policy节点并选择ProtocoRules文件夹。
Deny Archie Protocol列在详细信息窗格中。
5. 在控制台树中,展开Servers And Arrays节点,然后展开NewArray节点。
6. 展开Aclearcase/" target="_blank" >ccess Policy节点,然后选择ProtocoRules文件夹。
Deny Archie Protocol列在详细信息窗格中。NewArray的访问策略继承了Test Enterprise Policy设置。因为在安装ISA Server时,是以域管理组成员而不是企业管理组成员的身份登录的,因此新阵列已经继承了默认的企业策略设置。
7. 在View菜单中,单击Advanced。
8. 在详细信息窗格中,右击Deny Archie Protocol协议规则然后单击Delete。
出现Confirm Delete对话框。
9. 单击Yes确认要删除此规则。
出现ISA Error消息框, 通知您不具备执行此操作所必需的权限。
为了保证已执行了企业策略,一个组织应该规划不允许分部级的阵列管理员成为企业管理组成员。但是,分部级的阵列管理员必须被授予域管理员权限。
10. 单击Continue。
11. 如果该消息再次出现,再次单击Continue忽略此消息。
12. 在控制台树中,右击出现在Access Policy节点下的ProtocoRules文件夹,指向New并单击Rule。
出现New ProtocoRule向导。
13. 在ProtocoRule Name文本框,输入Array-LeveProtocoRule,然后单击Next。
出现Rule Action屏幕。注意到Allow单选按钮是不可用的,这表明企业级的策略正在执行的时候,在阵列级只能创建Deny规则。这对于站点和内容规则也是一样的。
14. 单击Cance,退出New ProtocoRule向导。
15. 在ISA Management控制台树上,右击IP Packet Filters文件夹,指向New 然后单击Filter。
出现New IP Packet Filter向导。
16. 在IP Packet Filter Name文本框中,输入 OpenAl,然后单击Next。
出现Servers屏幕。
17. 单击Next。
出现Filter Mode屏幕。
18. 单击Next。
出现Filter Type屏幕。
19. 单击Custom单选按钮,然后单击Next。
出现Filter Settings屏幕。注意IP protocol已被设置为Any,并且Direction 被设置为Both。
20. 单击Next。
出现LocaComputer屏幕。
21. 单击Next。
出现Remote Computers屏幕。
22. 单击Next。
出现Completing The New IP Packet Filter向导屏幕。
23. 单击Finish。
24. 在控制台树中,单击IP Packet Filters文件夹。
OpenAll数据包筛选器列在详细信息窗格中。企业策略没有限制对IP数据包筛选器的使用。
25. 以ArrayAdmin身份退出Server2,然后以Administrator身份再次登录。
再次运行ISA Server设置,并删除所有的ISA Server组件。出现一个对话框询问您是否要删除所有的日志和配置备份文件时,单击Yes。
7.1.5 小结
如果您是EnterPrise Admins组成员,您可以创建任意数量的企业策略,其中任何一个都可以应用到ISA Server阵列组中。企业策略包括站点和内容规则以及协议规则。企业策略也包括策略单元。企业级和阵列级的规则都可以使用该单元。
要配置称之为企业策略设置的设置组,您必须是EnterPrise Admins组的成员。企业策略设置包括为所有阵列的默认企业设置和与特定阵列相关的企业级的设置。对任何给定的阵列来说,这些设置决定了是只采用企业策略、采用企业和阵列复合策略还是只采用阵列策略;它还决定了是否采用发布策略,是否需要强制使用阵列级的数据包筛选。当阵列采用企业和阵列复合策略时,阵列策略必须进一步对企业策略进行限制。如果阵列配置为只采用阵列策略,它以后将不能配置为可以继承企业策略。同样,如果一个已有的阵列使用了企业策略,就不能修改阵列策略设置去忽略企业设置而只使用阵列策略。
无论何时,如果没有企业管理员权限的用户创建了一个阵列,默认的企业策略和企业策略设置将应用到新阵列中。
所有的企业配置参数都能备份和保存在本地的文件中。备份过程保存了所有的企业设定信息,包括所有的企业策略和企业策略单元。这些企业配置参数可随时从备份文件中恢复。(小节完)
