三 Web代理与基本身份验证

　　在上面的镜像账号例子中，访问者利用了集成验证证明了自己的身份，其实ISA也支持基本身份验证。曾经有朋友问过这个问题，ISA能否在用户使用浏览器上网时弹出一个窗口，访问者必须答对用户名和口令才可以上网?这个需求是可以满足的，只要访问者使用Web代理以及我们将Web代理的身份验证方法改为基本身份验证即可。

　　在ISA服务器中查看内部网络属性，如下图所示，切换到Web代理标签，点击“身份验证”。

　　将Web代理使用的身份验证方式从“集成”改为“基本”，如下图所示。

　　防火墙策略生效后，在客户机上测试一下，如下图所示，客户机访问互联网时，ISA弹出对话框要求输入用户名和口令进行身份验证，我们输入了张强的用户名和口令。

　　身份验证通过，用户可以访问互联网了!

　　以上我们简单介绍了如何在工作组环境下控制用户上网，接下来我们要考虑在域环境下如何操作。相比较工作组而言，域环境下控制用户上网是很容易做到的，既然有域控制器负责集中的用户身份验证，既方便又安全，如果不加以利用岂不太过可惜。在域环境下控制用户上网基本都是依靠用户身份验证，除了有极个别的SNAT用户我们需要用IP控制。具体的处理思路也很简单，在域中创建一个全局组，例如取名为Internet Access。然后将允许上网的域用户加入此全局组，最后在ISA中创建一个允许访问互联网的用户集，把全局组Internet Access加入允许访问互联网的用户集即可。