安装SQL2008安装到服务器配置时提示此页面上的验证错误，请单击确定以关闭窗口，请查看安装程序底部错误

账户权限问题

在安装SQL Server 2008数据库服务器的时候，服务器有可能处于以下几种环境中：

①工作组环境下的服务器 (WorkGroup)

②域环境下的域控制器 (Domain Controller)

③域环境下的成员服务器 (Domain Member)

④群集环境 (cluster)

在实际应用中，开发人员或者实施人员很少有机会接触到基于域控制器的网络环境的应用，绝大多数应用都是针对工作组环境的。

比如：配置好的IIS服务器中会发布很多网站，服务器本身也会承载数据库的角色等，此时即是在工作组环境下的应用。

但对于微软平台企业级应用开发而言，则几乎都需要在域环境下进行应用和部署。

比如微软的CRM，SharePoint，uc等产品的二次开发、NET平台为了适应企业环境和组织架构在域模式下的应用开发等，此时可能会涉及到在域控制器、域成员服务器甚至在“群集”中安装SQL Server 2008。

上面列举了SQL SERVER 2008可能的应用部署环境，但无论是哪一种环境下应用，都会碰到为每个<SQL Server服务>配置账户的问题。

为什么要给SQL SERVER 的每一个服务配置账户？

这是因为：给SQL SERVER服务配置了不同的账户之后，该SQL SERVER服务就会以该账户所属的组来运行，从而通过账户去控制该服务访问各种资源的权限。

SQL Server 2008内置了3个账户，分别是：

Local Service 本地服务帐户，

Network Service 网络服务帐户，

Local System 本地系统帐户

1Local Service 帐户：

Local Service本地服务帐户与 Users 组的成员具有相同级别的资源和对象访问权限

(题外话：什么是Users账户组，参见《Windows六大用户组功能分析》)。

如果有个别服务或进程的安全性受到威胁，则此账户的有限访问权限有助于保护系统的安全性。

以 Local Service 帐户身份运行的服务将以一个没有凭据的 Null 会话形式访问网络资源。

请注意：SQL Server 或 SQL Server 代理服务不支持 Local Service 帐户。

该帐户的实际名称为“NT AUTHORITY\LOCAL SERVICE”。

题外话：Windows凭据（Credential）其实就是指用户帐户和口令。

Null会话，即空会话，参见《空连接》一文。

2Network Service 帐户：

Network Service 网络服务账户比 Users 组的成员拥有更多的对资源和对象的访问权限。

以 Network Service 帐户身份运行的服务将使用计算机帐户的凭据访问网络资源。

该帐户的实际名称为“NT AUTHORITY\NETWORK SERVICE”。

3Local System 帐户：

Local System 本地系统账户是一个具有高特权的内置帐户。

它对本地系统有许多权限并作为网络上的计算机。

该帐户的实际名称为“NT AUTHORITY\SYSTEM”。

---------------------------------------------------------------------------------------------------------------------------

在实际应用中，

1若在工作组环境下安装SQL Server 2008，允许使用的账户包括：

①本地用户帐户(注意不是Local Service本地服务账户！)、

②内置账户（Network Service网络服务账户、Local System本地系统账户等）。

2若在域环境上(包括成员服务器)安装 SQL Server 2008，

(注意：出于安全方面的考虑，Microsoft 建议不要将 SQL Server 2008 安装在域控制器上)

虽然SQL Server 安装程序不会阻止在作为域控制器的计算机上进行安装，但存在以下限制：

①可使用的账户受限

在域控制器上，无法在<Local Service本地服务帐户>或<Network Service网络服务帐户>下运行 SQL Server 服务。此时用的账户一般是域账户和<Local System本地系统账户>。

②将 SQL Server 安装到计算机上之后，无法将此计算机从域成员更改为域控制器。

必须先卸载 SQL Server，然后才能将主机计算机更改为域控制器。

③在群集节点用作域控制器的情况下，不支持 SQL Server 故障转移群集实例。

④SQL Server 安装程序不能在只读域控制器上创建安全组或设置 SQL Server 服务帐户。在这种情况下，安装将失败。

--------------------------

总之，通过给不同的SQL SERVER 服务配置不同的账户，就可以控制其权限，从而限制可访问的资源，并且有助于系统的安全运行。

故障：“远程计算机需要网络级别身份验证，而您的计算机不支持该验证，请联系您的系统管理员或者技术人员来获得帮助”

故障症状：当您使用Windows XP“远程桌面连接”工具去连接Windows Vistas或Windows Server 2008的远程桌面、终端服务时，出现上述故障。

故障产生环境：远程桌面连接工具60以下版本，或者Windows XP Profressional SP1、SP2、SP3

解决方法：

1、请升级“远程桌面连接”工具最新61版本。

2、请把XP升级到最新SP3补丁包。

3、运行“regedit”打开注册表编辑器，进入 “HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Lsa”，双击右边栏中的 “Security Packages”，打开“编辑多字符串”对话框，在列表框光标处增加“tspkg”字符。　　

4、然后定位到 “HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼SecurityProviders”，双击右侧的“SecurityProviders”字符串，打开“编辑字符串”对话框，在数值末端中添加“, credsspdll”，注意逗号后有一个英文的空格。　

5、退出注册表程序，重启计算机后故障排除。

重启系统后，然后再运行mstsc查看关于信息已经显示为支持网络级别身份验证了。

首先要了解什么是NTLM身份验证：

这个是微软早期的一种身份验证模式。后来成为很多应用程序验证的一种方式，为了是与微软通讯。

再回到你的问题，其实vista之后，包括2008和vista。默认不推荐使用NTLM来验证，基本都用kerbeos来验证。当然这说明他还支持NTLM认证。

但是2003和2008的认证原理是一样，下面的有转述：

什么环境还会用到这样的认证，下面的连接中有说明。也就是说除了这些环境中的windows需要NTLM验证，其他都是使用Kerbeos来验证了。

当然还有一些应用程序，比如telnetHTTP，

http://technetmicrosoftcom/zh-cn/library/cc783005%28WS10%29aspx

验证原理：

早期的SMB协议在网络上明文传输口令，后来出现了"LAN Manager Challenge/Response"验证机制，简称LM，它十分简单以至很容易被破解，微软随后提出了WindowsNT挑战/响应验证机制，即NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。NTLM工作流程是这样的:

1、客户端首先在本地加密当前用户的密码成为密码散列

2、客户端向服务器发送自己的帐号，这个帐号是没有经过加密的，明文直接传输

3、服务器产生一个16位的随机数字发送给客户端，作为一个 challenge（挑战，不知道为什么叫这个）

4、客户端再用加密后的密码散列来加密这个 challenge ，然后把这个返回给服务器。作为 response（响应）

5、服务器把用户名、给客户端的challenge 、客户端返回的 response 这三个东西，发送域控制器

6、域控制器用这个用户名在 SAM密码管理库中找到这个用户的密码散列，然后使用这个密码散列来加密 challenge。

7、域控制器比较两次加密的 challenge ，如果一样，那么认证成功。

1、验证安装是否成功

1通常情况下，如果安装过程中没有出现错误提示，既可以认为安装成功。但是，为了检验安装是否正确，也可以采用一些验证方法。例如，可以检查SQL Server 2008的服务和工具是否存在，应该自动生成的系统共数据库和样本数据库是否存在，以及有关文件和目录是否正确等。

2安装之后，选择开始菜单→所有程序→SQL Server 2008可以查看到SQL Server 2008的信息。

3在SQL Server 2008中主要包括8项：Configurtion Tools、Docunmentaion and Tutorials、Analysis Services、Performance、SQL Server Management Studio、导入和导出数据（32位）以及SQL server Business Intelligence Development Studio。

4SQL Server 2008还包含多个服务，可以通过菜单栏中选择SQL Server 2008配置管理命令，从弹出窗口的左侧单击SQL Server服务选项来查看SQL Server 2008的各种服务。

2、注册服务器

1选择开始→程序→SQL Server2008→SQL ServerManagement Studio命令，打开SQL ServerManagement Studio窗口，并单击取消按钮。

2在查看→已注册的服务器窗格中展开数据库引擎节点，选择本地服务器→新建服务器注册命令。

3在弹出下面图所示的新建服务器注册对话框。在该对话框中输入或选择要注册的服务器名称，在身份验证下拉表中选择Windows 身份验证选项，单击连接属性标签，切换到连接属性选项卡，可以设置连接到的数据库、网络以及其他连接属性。

4从连接到数据库下拉表中指定当前用户将要连接到的数据库名称，其中，默认值选项表示连接到SQL Server 系统中当前用户默认使用的数据库。浏览服务器选项表示可以从当前服务器中选择一个数据库。当选择浏览服务器选项时，弹出查找服务器上的数据库对话框，从该对话框中可以指定房钱用户连接服务器时默认的数据库。

5设定完成后，单击确定按钮返回连接属性选项卡，单击测试按钮可以验证连接是否成功，如果成功会弹出提示对话框表示连接属性的设置时正确的。

6最后，单击票确定按钮返回连接属性选项卡，单击保存按钮来完成注册服务器操作。

3、配置服务器

1选择开始→程序→SQL Server2008→SQL ServerManagement Studio命令，打开连接到服务器对话框。

2在此对话框中的服务器名称下拉列表中输入本地计算机名称，在设置服务器类型为“数据库引擎”，选择使用SQL Server 或Windows身份验证，并在相对应的文本框中输入登录名和密码。

3输入完成后，单击连接按钮，即可成功连接服务器。服务器连接成功后，右键单击对象资源管理器中要设置的服务器名称，在弹出来的快捷菜单中选择属性菜单项。

4连接服务器成功后，右键单击对象资源管理器中要设置的服务器名称，在弹出来的菜单中选择属性命令。从弹出来的服务器属性对话框可以看出工包含了8个选项卡。其中常则选项窗口列出了当前服务产品名称、操作系统名称、平台名称、版本号、使用言语、当前服务器的内存大小、处理器数量、SQL Server 安装目录、服务器的排列规则以及是够群集化等信息。

注意事项

注册服务器是为了SQL Server客户机/服务器系统确定一台数据库所在的机器，该机器作为服务器可以为客户端的各种请求提供服务。

配置服务器主要是针对安装后的SQL Server 2008实例进行的。

在SQL Sever 2008系统中，可以使用多种方式设置服务器选项。

使用SQL Server Management Studio 在图形界面中配置是最简单也是最常用的，

使用网络级身份验证 (NLA)，而不较旧的终端服务方法，是更快、 更安全。Kristin Griffin从Windows Server 2003 终端服务移动到 Windows Server 2008 R2 远程桌面服务已成为一个相当普遍的升级路径。像人此升级，你经常会听到他们不知道为什么这两个版本之间的用户连接体验如此不同。连接到一台 2003年终端服务器时，用户在其凭据启动会话和类型。使用RD 会话主机服务器时，用户通常到客户端的对话框中输入凭据。默认情况下，客户端不支持调用网络级身份验证 (NLA) 技术无法连接。为什么差异？有为什么微软推出网络级身份验证，原因和理由，为什么它的确是一件好事。NLA 是什么？NLA 部队到目前用户凭据进行身份验证的客户端计算机之前，服务器将创建一个为该用户的会话。这一进程，因为它有时称为"前的身份验证"。服务器运行的 Windows Server 2008/Vista 或更高版本，并在客户端运行 Windows XP SP3 或以后，支持 NLA。NLA 依赖技术称为凭据安全支持提供程序 （CredSSP） 的协议，如果您使用另一个操作系统的远程桌面协议 (RDP) 客户端，因为你要问其开发人员，是否它支持 NLA。所以为什么提交凭据，然后会话创建这样的好事吗？有两个主要好处不创建会话之前你一定尝试连接该人有权这样做：它提供了一层防御拒绝服务 (DoS) 攻击，它加快了经纪的过程。启动会话 —— 甚至只显示登录屏幕 —— 需要服务器创建的许多支持会话，如 Csrssexe 和 Winlogonexe 所需的过程。为此，会话创建非常昂贵且相对耗时。如果大量的未经授权的用户尝试连接到一个会话在同一时间，他们可能能阻止其他人使用该服务器，因为它创建会话接受这些虚假的登录凭据。更关键的性能问题。在Windows Server 2003，相对较少的农场。Windows Server 2008 的开头，农场变得更为常见。记住每个会话主机 RD 场中的服务器可能是重定向器。如果主机服务器必须创建整个会话之前将连接请求重定向到该路连接经纪，这会减慢连接的时间。NLA 使用 CredSSP 来向服务器进行身份验证创建会话之前的用户凭据。这一进程可以避免这些问题。使用CredSSP 有其他好处。CredSSP 可以减少用户必须通过存储特定连接的凭据登录次数。第一次的用户连接到新的服务器、 虚拟机 (VM) 或甚至另一台 PC，他们需要提供其凭据。不过，他们也要保存他们的选项。如果他们这样做，他们不需要直到他们更改自己的密码再次提供这方面的凭据。如何支持 CredSSP NLACredSSP 协议帮助应用程序安全地将从客户端的用户凭据委托到目标服务器。本议定书首先确立了在客户端与目标服务器 （如指定的 [RFC2246]） 使用传输层安全性 (TLS) 加密的通道。当您连接到 RD 会话主机服务器 RDC 6x 版或更高版本的客户端时，您可能已经注意你不直接连接路会话主机服务器登录屏幕，提供您的凭据。相反，一个地方的对话框弹出采取在客户端上的您的凭据。此对话框是 CredSSP 的前端。即使您没有选择将它们保存到此对话框中，键入您的凭据，当他们去 CredSSP。然后将凭据传递给 RD 会话主机服务器，通过安全通道。RD 会话主机服务器只将开始建设一旦接受了这些凭据的用户会话。客户端支持 CredSSP 和 RDP 6x 和稍后将始终使用 NLA，如果可用的话。CredSSP （技术支持 NLA） 是操作系统的一部分，而不是的 RDP 的一部分，因为客户端操作系统必须支持 NLA 工作为 CredSSP。因此，虽然有 RDC 60 客户端可用的 Windows XP SP2，这不让使用 NLA 的 Windows XP SP2。运行Windows XP SP3 的客户端，Windows Vista 和 Windows 7 都支持 CredSSP。此外，RDC 会告诉你是否它支持 NLA 在关于屏幕。若要看到这种情况，单击左上角的 RDC 的电脑图标，选择关于。这将指示是否支持 NLA。Windows XP SP3 支持 CredSSP，但不一定在默认情况下启用它。若要启用它，微软发布了一篇知识库文章，与修复它我链接。本文还介绍如何手动启用 CredSSP。一旦启用了 CredSSP，重新启动计算机。如果您的客户端计算机不正确设置最多支持的 NLA 你会得到一条消息，所以当您尝试远程连接到计算机时，需要在 NLA 说。例如，如果您的 Windows XP SP3 客户端没有启用 CredSSP，会出现此错误，当您尝试远程连接到所需 NLA RD 会话主机服务器："远程计算机需要网络级身份验证您的计算机不支持"。如何强制使用 NLA默认情况下，路会话主机服务器不需要 NLA。您可以配置他们允许仅从支持 NLA，通过组策略或从 RD 会话主机配置每个服务器基础上的计算机的连接。用于连接到每台服务器上的 RD 会话主机服务器要求 NLA，打开 RD 会话主机配置。（在连接部分中） 下双击 Rdp-tcp），然后在常规选项卡上选择允许连接只从计算机运行远程桌面网络级身份验证与旁边的复选框。这将阻止任何客户端不支持 NLA (即任何客户端运行在版本 6 之前的 RDC。x和任何操作系统不支持 CredSSP） 连接到服务器。要启用 NLA 通过组策略，启用以下策略，并将其应用到 OU RD 会话主机服务器：计算机配置 |政策 |管理模板 |Windows 组件 |远程桌面服务 |远程桌面会话主机 |安全 |通过使用网络级别的身份验证要求进行远程连接的用户身份验证。如果禁用或未配置此策略意味着 NLA 并不需要。VDI 请求对于虚拟桌面基础设施 (VDI) 部署，还可以限制 Windows Vista 和 Windows 7，接受只支持 NLA 客户端的连接请求。转到控制面板 |系统 |远程设置。从系统属性对话框中的远程选项卡，选择允许连接只从计算机运行远程桌面的网络级身份验证 （更安全） 的选项。这应解释为什么 RD 会话主机服务器上的启用 NLA 和 VDI 虚拟机是一个好主意。您应该了解如何在您的服务器和 VDI 虚拟机上要求 NLA 以及如何设置 NLA 支持的客户端计算机。证书，虽然只是简单地说，提到的是必不可少的任何 RDS 部署。这不只是为了 NLA，而且服务器身份验证，使用路网关路 Web 访问、 甚至路连接经纪人。下次我会深入到 RDS 部署证书要求的更多。Kristin Griffin远程桌面服务 MVP。她温和派微软论坛致力于帮助基于服务器的计算社区 （远程桌面服务） 和维护在 blogkristinlgriffincom RDS 博客。她是贡献者马克米纳西的"掌控 Windows Server 2008"（Sybex，2008年） 和"掌握 Windows Server 2008 R2"（Sybex，2010年）。她还与塔 · 安德森合著的"Microsoft Windows Server 2008 终端服务资源工具包"（微软出版社，2008年） 和"Microsoft Windows Server 2008 R2 远程桌面服务资源工具包"（微软出版社，2010年）。NLA 问答Q。我正在 Windows XP SP3。我启用了 CredSSP，但仍然出现以下错误时连接到需要 NLA RD 会话主机服务器："已发生验证错误"。答： 有用于解决此问题的修复程序 我的博客。在此特定的情况下，这些因素的存在，也会发生此错误：与CredSSP 启用 Windows XP SP3 运行客户端。配置要使用一个真正的 SSL 证书来标识自己的服务器 （它不使用自动生成的证书，即在默认情况下的地方）。客户端不信任用于签署服务器上使用 SSL 证书的 CA 证书。由于NLA 要求安全通道，它接收凭据，和它无法创建此隧道，如果它不信任的证书，NLA 不起作用。要解决此问题，请确保 XP 客户端计算机有用于签署 RD 会话主机服务器的 SSL 证书安装在其计算机受信任的根证书颁发机构证书的证书存储区的文件夹。Novex此特定的错误会稍有变化从 RDC 6x RDC 70。如果您安装 RDC 70，您可能会看到此错误消息："连接已被终止因为从远程计算机收到意外的服务器身份验证证书。相关的内容如何扩展您的应用程序和数据的 to…到处 ！桌面文件：了解 RDP虚拟化：使用路网关

1

登陆sql

server

2008（windows身份认证），登陆后右击，选择“属性”。左侧选择“安全性”，选中右侧的“sql server 和 windows 身份验证模式”以启用混合登录模式。

2

选择“连接”，勾选“允许远程连接此服务器”，建议将“最大并发连接数”按实际情况，进行设置，然后点“确定”。

3

展开“安全性”->“登录名”->“sa”，右键选择“属性”。左侧选择“常规”，右侧选择“sql server 身份验证”，并设置密码。

4

选择“状态”，选中“启用”，点击“确定”。右击数据库选择“方面”。在“方面”下接列表框中，选择“服务器配置，“remoteaccessenabled”属性和”remotodacenabled”设为“true”，点“确定”。至此ssms已设置完毕，先退出，再用sa登录，成功即表示sa帐户已经启用。

5

下面开始配置sql server configuration manager (sscm)，选中左侧的“sql server服务”，确保右侧的“sql server”以及sql server browser正在运行。

6

打开左侧“sqlserver网络配置”，打开“你自己数据库实例名的协议”，查看右侧的tcp/ip默认是“已禁用”，将其修改为“已启用”。

7

双击打开“tcp/ip”查看“tcp/ip属性”下“协议”选项卡中的“全部侦听”和“已启用”项，是否都是设置成“是”。

8

选择“ip addersses”选项卡，ip1、ip2、ipall设置tcp端口为“1433”，tcp动态端口为空值，已启用为“是”。

9

将"客户端协议"的"tcp/ip"也修改为“已启用”。双击打开右侧“tcp/ip”，打开“tcp/ip属性”，将默认端口设为“1433”，已启用为“是”。配置完成，重新启动sql server 2008。

10

必需要防火墙上把sql server 的1433 tcp端口和1434 udp端口映射出去。

更改安全身份验证模式

在 SQL Server Management Studio 的对象资源管理器中，右键单击服务器，再单击“属性”。

在“安全性”页上的“服务器身份验证”下，选择新的服务器身份验证模式，再单击“确定”。

在 SQL Server Management Studio 对话框中，单击“确定”以确认需要重新启动 SQL Server。

从 SQL Server Management Studio 重新启动 SQL Server

在对象资源管理器中，右键单击您的服务器，再单击“重新启动”。如果运行有 SQL Server 代理，则也必须重新启动该代理。

使用 Transact-SQL 启用 sa 登录帐户

执行下列语句以启用 sa 密码并分配一个密码。

ALTER LOGIN sa ENABLE ;

GO

ALTER LOGIN sa WITH PASSWORD = '<enterStrongPasswordHere>' ;

GO

使用 Management Studio 启用 sa 登录帐户

在对象资源管理器中，依次展开“安全”、“登录名”，右键单击“sa”，再单击“属性”。

在“常规”页上，您可能需要为 sa 登录名创建密码并确认该密码。

在“状态”页上的“登录”部分中，单击“启用”，然后单击“确定”。

Windows server 2008发布于08年2月份，是微软网络接入保护(NAP)计划的组成部分，它拥有微软期待已久的专有网络访问控制架构。本文将讲解NAP在安装过程中需要配置的内容。但是，考虑到微软的Forefront软件或第三方NAP相关附加产品本身有很多的特性和功能，因此我们所讲解的只是一个简单的配置，以及部分NAP功能。

　　我们先打开Network Policy Server然后在下拉框里面配置NAP：

　　注意到它支持各种不同的网络连接方法，包括DHCP，8021x和***。可以选择任何一种连接方法，它们都可以使端点连接到受保护的网络，然后给予该选择一个名称。在配置界面底部提供了帮助文件，这些文件说明了一些在安装过程中的需求。它们不同于一般的帮助文件，不仅非常好的描述了该网络基础架构中需要的元素，而且指出了哪些元素是系统不支持的。

　　例如，有线8021X就可以使该向导建立连接请求策略以及健康配置NAP网络系统。

　　8021x使用的NAP enforcement

　　基于端口的网络访问控制8021x使用的NAP enforcement客户端的部署是基于运行在网络策略服务器(NPS)和EAP enforcement主客户端组件之上的。使用基于8021x的NAP enforcement客户端，NPS服务器可以指示一个8021X认证交换机和兼容8021X的无线接入点,从而调整不符合8021x网络的客户端。NPS服务器通过运用IP过滤器和虚拟局域网连接标识符，可以限制客户端的网络接入。 8021x的enforcement客户端通过访问8021x的服务器，对所有访问网络的计算机提供强大的网络访问限制。

　　有线8021x的需求

　　要部署基于有线8021x的NAP，你必须作以下配置：

　　需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

　　安装和配置8021x的认证交换机。

　　保证可以使用NAP,并且客户端使用EAP enforcement验证机制，并且保证客户端的NAP服务开启。

　　根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

　　如果你使用了智能卡或证书来进行PEAP-TLS或EAP-TLS与TLS验证的，需要使用活动目录的证书服务(AD CS)来部署一个公共密钥基础设施(PKI)。

　　如果你使用PEAP-MS-CHAP第二版，需要使用AD CS来进行服务器端的认证或者从其它受信的根证书颁发机构购买服务器认证。

　　无线8021x的需求

　　要部署基于无线8021x的NAP，你必须作以下配置：

　　需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

　　安装和配置8021x的无线访问接入点。

　　保证可以使用NAP,并且客户端使用EAP enforcement验证机制。

　　根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

　　在这一点上，如果为了达到测试目的，我建议你选择DHCP。配置一个独立的Windows Server 2008服务器并选择了8021x的连接可能会带来很多问题。微软的网站上支持页面有关于PEAP-TLS身份验证和Windows Server 2008的更多信息。

　　接下来，添加一个RADIUS客户端节点，比如身份验证交换机。它们不是客户端PC，但其他任何用户的身份验证过程都需要与RADIUS服务器对话。

　　其次，建立一个有相同策略要求的组，比如客户工作人员或者人力资源工作人员。这些群体必须已经建立在Active Directory(活动目录)中。可以到Manager/Configuration/Groups部分然后增加这些组。

　　下一步是建立一个修复服务器组来存储更新软件和修复不符合策略要求客户端电脑。也可以包括一个URL，为没过通过评估用户提供相关信息，使其到达评价标准，如下图所示：

　　下一步是建立一个健康策略，使用的是NAP服务器的健康验证器。在此屏幕上，有一个选项，用于确定PC不通过审核后将会怎样：它可以只能访问受限网站，或者被获准进入所有网络。(注意这两个选项在下面的屏幕截图屏幕底部的复选框)。

　　这就是健康策略定义。点击完成，回到网络策略服务器管理器，在NAP菜单树上，右键系统健康验证器其属性表，如下所示：

　　这里两个标签，分别对应XP客户端和Vista客户端，另外，Vista的标签有更多的项目配置项。那么对于老版本的Windows和非Windows操作系统客户端怎么办呢其实，他们不包括在NAP中。对这些机器进行网络访问管理，必须有额外的第三方软件。

　　在这里，告诉验证器检查每台电脑，确认他们是否打开了防火墙，安装防病毒更新，等等。一旦完成，再次回到策略服务器的策略菜单树，并确保所有的各项策略得到正确设置。这里显示了由向导已经配置的各项网络策略：

　　单击确定，这时你已成功的设置你的第一个NAP服务器!有些服务可能需要调整，以便在开机时它们能正常启动，如果不使用这些服务则不必进行调整。

　　同样，请记住，这只是一个基础的配置。杀毒软件供应商及

　　代理等将需要挂接到该服务器，接下来，你就可以开始体验NAP和Windows Server 2008了。