使用ISA实现用户级验证完成篇

前期工做：

　　按照使用ISA实现用户级验证一（ [url]http://waringid.blog.51cto.com/65148/49574[/url]）
使用ISA实现用户级验证二（ [url]http://waringid.blog.51cto.com/65148/49588[/url]）
设置好相关参数，如今开始配置ISA2006．在本文中设置＂ test_it_dept＂下的全部用户均可以经过代理上网，可是不容许＂ test\administrator＂访问Google这个网站．

一：设置ISA的外网卡能经过DHCP获取IP

　　 打开ISA2006，选择＂查看＂－＂显示系统策略＂，加入外网网络，加入后的结果如图示：

二：创建测试用户集

　　 选择最右边的面板－＂工具箱＂－＂用户＂－＂新建＂
　　＂Test it Dept＂包括用户zshan，isaadmin；
　　＂Domain Test User＂包括用户administrator

三：创建测试域名集

　　 选择最右边的面板－＂工具箱＂－＂域名集＂－＂新建＂

四：新建内部访问外网的访问策略

　　 选取左边面板的＂防火墙策略＂，在右边面板上新建访问策略，新建容许内部网络访问外部网络的策略．具体参数如图示：

五：新建禁止administrator访问google.com网站策略

　　 注意：每新增长一条策略，要点＂应用＂才能生效
　　方法同上所示，如图：

六：测试结果

　　 以administrator登录的结果

　　 以isaadmin登录的状况

PS： 全部的硬件防火墙在使用基于用户级认证的功能时都不能解决一个用户名在多台计算机上登录的状况．因此使用软件＋硬件结合的方式比较好控制．由于使用软件ISA的方法，用户的验证是在系统登录时进行的，因此只需控制系统登录的事件就能够了，在AD的用户中有设置＂登录到．．＂这个选项，能够设定每一个用户只能登录到哪些计算机或是肯定为哪一台．固然，若是有更好的方法但愿你们一块儿讨论．