二 用户身份验证

　　工作组环境下进行用户身份验证并不方便，但不等于无法进行用户身份验证，在工作组中进行身份验证可以使用镜像账号的方式，即在ISA服务器和客户机上创建用户名和口令都完全一致的用户账号。例如我们允许员工张强访问外网，张强使用的计算机是Istanbul，那我们可以进行如下操作。

　　A 在ISA服务器上为张强创建用户账号

　　在ISA的计算机管理中，定位本地用户和组，如下图所示，选择创建新用户。

　　用户名为zhangqiang，口令为Itet2008。

　　B 在ISA服务器上创建允许上网的用户集

　　在防火墙策略工具箱中，展开用户，如下图所示，点击新建。

　　为新建用户集取名为“允许上网用户”。

　　在新创建的用户集中添加“Windows用户和组”，如下图所示。

　　在用户集中添加beijing\zhangqiang，如下图所示。

　　创建完用户集，点击完成。

　　接下来我们要修改访问规则，只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改，这次不修改访问的源网络了，如下图所示，我们对源网络不进行任何限制。

　　这次限制的重点放在了用户上，在规则属性中切换到用户标签，将“所有用户”删除。

　　将“允许上网用户”添加进来，如下图所示。

　　D 在Istanbul上创建张强的镜像账号

　　现在内网的访问用户必须向ISA证明自己是ISA服务器上的用户张强才能被允许访问外网，那怎么才能证明呢?其实很简单，只要客户机上的某个用户账号，其用户名和口令和ISA服务器上张强的用户名和口令完全一致，ISA就会认为这两个账号是同一用户。这里面涉及到集成验证中的NTLM原理，以后我会写篇博文发出来，现在大家只要知道如何操作就可以了。

　　在Istanbul上创建用户账号张强，如下图所示，用户名为zhangqiang，口令为Itet2008。

　　做完上述工作后，我们就可以在Istanbul来试验一下了。首先，我们需要以张强的身份登录，其次，由于SNAT不支持用户验证，因此我们测试时需使用Web代理或防火墙客户端。如下图所示，我们在客户机上使用Web代理。

　　在Istanbul上访问百度，如下图所示，访问成功!

　　在ISA上打开实时日志，如下图所示，ISA认为是本机的张强用户在访问，镜像账号起作用了!