DC1组策略配置

　　1. 打开组策略管理，编辑【NAP Policy】，展开【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】，找到【Network Access protection Agent】属性，设定自动启动服务。如图8
 

　　图8

　　2. 在【安全设置】-【网络访问保护】-【NAP客户端配置】-【强制客户端】中，启用【IPsec 信赖方】如图9
 

　　图9

　　3. 在下面的【健康注册设置】-【受信任的服务器组】中，新建【受信任的HRA服务器】，添加https://nps1.contoso.com/domainhra/hcsrvext.dll ，完成设置。如图10

　　注：添加的URL要确保正确，否则NAP客户端可能无法获得健康证书
 

　　图10

　　4. 返回到【计算机配置】-【策略】-【管理模板】-【Windows组件】-【安全中心】，启用安全中心。如图11
 

　　图11

　　5. 此时在各服务器中强制刷新组策略，会在任务栏左下角的小旗处看到如图12一样的报错，这个报错其实是因为SHA需要依赖安全中心，但是Windows Server 2008 并不含有安全中心造成的。如果不想看到这个报错，可以停掉当前服务器的NAP Agent服务，或者将【Windows安全健康验证程序】属性中【SHA无法连接到所需服务】改为【符合】。微软只将此问题列出，并未进行修复。相关链接请点击。如图13。
 

　　图12
 

　　图13

　　不过可以将这些服务器放入【IPsec NAP Examption】组，置于外围网络，这样就可以忽略安全健康状态，直接得到系统健康证书，进行保护通信了。

　　6. 如果要求非域用户也可以得到此策略，则最好创建一个NAP Client组，将所有需要受到NAP保护的计算机都加入该组，然后在【组策略管理】中的【安全筛选】里，加入该组即可。