通过

The Cable Guy - 2003年7月

  • 项目

使用Windows Server 2003组策略配置无线设置

cable_guy

作者:The Cable Guy

欲了解关于The Cable Guy所主持的所有专栏的列表和更多信息,请点击此处

运行Windows XP和Windows Server 2003的Windows无线客户端的无线设置的配置是在“Windows零配置(Windows Zero Configuration,WZC)”服务的辅助下进行的,WZH在提示用户连接到无线网络时通过三次鼠标单击实现无线设置的自动化配置:

  1. 单击桌面通知区域中的“有一个或多个无线网络可用”消息。

  2. 在**“连接到无线网络”**中,单击选择所要连接的无线网络。

  3. 单击 “连接”

这是最佳方案,即对新的首选无线网络应用以下默认设置:

  • 根据无线AP信标确定网络的SSID。

  • WEP加密已启用。

  • 共享密钥身份验证已禁用。

  • 动确定WEP密钥。

  • IEEE 802.1X身份验证是通过使用EAP-TLS身份验证方法予以启用的。

如果无线网络不符合这些设置,用户必须手动配置无线网络设置。虽然这在具有少量无线客户端计算机的小型办公/家庭办公网络中可能不成问题,但是在具有数百或数千个无线客户端计算机的大中型机构中,把关键无线设置的手动配置任务留给用户将是一个涉及网络管理和故障诊断的重大问题。

为了自动化Windows XP (Service Pack 1及更新版本)和Windows Server 2003无线客户端计算机的无线网络设置的配置,Windows Server 2003 Active Directory域支持一个新的“无线网络(IEEE 802.11)策略”组策略扩展,其允许您配置属于基于域的组策略对象的“计算机配置”组策略的无线网络设置。

本页内容

“无线网络(IEEE 802.11)策略”组策略扩展
无线网络策略属性
首选无线网络属性
更多信息

“无线网络(IEEE 802.11)策略”组策略扩展

“无线网络(IEEE 802.11)策略”组策略扩展中的无线网络设置包括全局无线设置、首选网络列表、WEP设置和IEEE 802.1X设置。这些设置包含Windows XP (SP1及更新版本)或Windows Server 2003无线客户端上的无线网络属性对话框中的**“关联”“身份验证”**选项卡上的所有项,以及其他附加设置。

这些设置将被下载到属于Windows Server 2003 Active Directory域成员的Windows XP (SP1及更新版本)或Windows Server 2003无线客户端计算机上,使得为安全无线连接部署特定的配置容易多了。您可以通过“组策略”管理单元中的“计算机配置/Windows设置/安全设置/无线网络(IEEE 802.11)策略”节点来配置无线策略。

下图显示了“无线网络(IEEE 802.11)策略”节点的位置。

cg070301.gif

注意: 这些策略设置不适用于Windows XP(Service Pack 1之前的版本)或Microsoft 802.1X Authentication Client无线客户端。

默认情况下,不存在“无线网络(IEEE 802.11)策略”。 为了创建新策略,请在“组策略”插件的控制台树中右键单击**“无线网络(IEEE 802.11)策略”,然后单击“创建无线网络策略”**。这样将启动“创建无线网络策略向导”,您可以通过这个向导配置新的无线网络策略的名称和描述。您可以创建单个无线网络策略来用于每个组策略对象。有关Windows Server 2003组策略的更多信息,请参见Windows Server 2003中的组策略简介

如要修改无线网络连接的设置,请在详细信息窗格中双击其名称。

无线网络策略属性

无线网络策略的属性由一个**“常规”选项卡和一个“首选网络”**选项卡组成。

下图显示了无线网络策略的**“常规”**选项卡及其默认设置。

cg070302.gif

在**“常规”**选项卡上,您可以查看和配置以下选项:

  • **“名称”**指定一个用于该无线网络策略的友好名称。

  • **“描述”**提供用于该无线网络策略的描述。

  • **“检查组策略变更的时间间隔”**指定时间间隔(单位:分钟),在该间隔之后,属于Windows Server 2003域成员的无线客户端将检查无线网络策略中的变更。

  • **“所要访问的网络”**指定允许无线客户端与之创建连接的无线网络类型。

    • 任何可用的网络(首选接入点)

    • 仅针对访问点(基础结构)网络

    • 仅针对计算机到计算机(特殊)的网络

  • **“使用Windows来配置客户端的无线网络设置”**启用WZC服务。

  • “自动连接到非首选网络” 启用到没有配置为首选网络的无线网络的自动连接。

下图显示了无线网络策略的**“首选网”络**选项卡。

cg070303.gif

在**“首选网络”**选项卡上,您可以查看和配置以下设置:

  • **“网络”**显示首选无线网络的列表。

  • **“添加/编辑/删除”**创建、删除或修改新的或选定的首选无线网络的设置。

  • **“上移/下移”将选定的首选无线网络在“网络”**列表中的位置上移或下移。

首选无线网络属性

首选无线网络的属性由一个**“网络属性”选项卡和一个“IEEE 802.1x”**选项卡组成。

下图显示了一个首选无线网络的**“网络属性”**选项卡及其默认设置。

cg070304.gif

在**“网络属性”**选项卡上,您可以查看和配置以下设置:

  • **“网络名称(SSID)”**指定无线局域网络名称,也称为“服务组标识符(Service Set Identifier,SSID)”。

  • **“描述”**提供用于该无线局域网络的描述。

  • **“数据加密(启用WEP)”**指定是否要对这个无线局域网络启用WEP。

  • **“网络身份验证(共享模式)”**指定是否使用IEEE 802.11共享密钥身份验证来对无线客户端进行身份验证。如果禁用,则使用开放系统身份验证。

  • **“自动提供密钥”**指定是否通过除手动方式之外的其他某种方式提供WEP密钥,比如网络适配器上提供的密钥或通过IEEE 802.1X身份验证提供的密钥。

  • **“这是一个计算机到计算机(特殊模式)的网络”**指定这个无线网络是否操作在特殊(ad hoc)模式下。

**注意:Microsoft正在研究一个对Windows Server 2003 Service Pack 1中的“网络属性”**选项卡的升级,其中包括用于Wi-Fi Protected Access(WPA)身份验证和加密设置的配置选项。Microsoft同时也在研究Windows XP Service Pack 2中的一个升级,以便“无线网络(IEEE 802.11)策略”组策略扩展中新的WPA加密和身份验证设置能够被识别和配置。

下图显示了一个首选无线网络的**“IEEE 802.1x”**选项卡及其默认设置。

cg070305.gif

在**“IEEE 802.1x”**选项卡上,您可以查看和配置以下设置:

  • “启用使用IEEE 802.1X的网络访问控制”指定您是否想要使用IEEE 802.1X来对这个无线连接执行身份验证。 如果清除这个复选框,这个选项卡上的其他所有设置都将不可用。 清除这个复选框将把注册表设置“SupplicantMode”(位于**“HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL \Parameters\General\Global”)设置为“0”**。

  • **“EAPOL-Start消息”指定EAPOL-Start消息在进行身份验证时的发送行为。 这个设置也会修改“SupplicantMode”**注册表设置。 您可以选择以下行为之一:

    • “不发送”指定不发送EAPOL-Start消息。 这等价于将“SupplicantMode”设置为“1”

    • “发送”判断何时发送EAPOL-Start消息,如果需要则发送一条EAPOL-Start消息。 这等价于将“SupplicantMode”设置为“2”

    • “对每个802.1x身份验证过程发送”在发起802.1X身份验证过程时发送一条EAPOL-Start消息。这等价于将“SupplicantMode”设置为“3”

  • “最大起始消息数量” 指定在没有接收到起始EAPOL-Start消息的响应时要发送的后续EAPOL-Start消息的数量。

  • “起始时间间隔” 指定在没有接收到先前发送的EAPOL-Start消息的响应时,EAPOL-Start消息重传之间的时间间隔(以秒为单位)。

  • **“持续时间”**指定身份验证客户端在接收到来自身份验证者的失败指示之后不执行任何802.1X身份验证活动的时间(单位:秒)。

  • “身份验证时间” 指定身份验证客户端在发起802.1X身份验证之后、在重传任何802.1X请求之前所等待的时间(单位:秒)。

  • **“EAP类型”**列出与适合用于无线访问的计算机上安装的EAP DLL相对应的EAP类型。

  • **“设置”**单击这个按钮来配置选定的EAP类型的属性。

  • **“当用户或计算机信息不可用时作为访客进行身份验证”**指定当用户或计算机凭证不可用时,该计算机是否要尝试作为访客进行身份验证。

  • **“当计算机信息可用时作为计算机来进行身份验证”**指定在没有用户登录时是否要尝试使用计算机凭证(比如计算机证书)来进行身份验证。

  • “计算机身份验证”指定计算机身份验证与用户身份验证的配合使用方式。 这个设置将修改“AuthMode”注册表设置(位于“HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL \Parameters\General\Global”)。

    这个选项存在三种可能的设置:

    • “使用用户身份验证”当用户没有登录计算机时,身份验证是使用计算机凭证来进行的。在用户登录计算机之后,使用计算机凭证来维持身份验证。 如果用户漫游到一个新的无线访问点,身份验证将使用用户凭证来执行。 这等价于将“AuthMode”设置为“0”

    • “使用用户身份再验证”当用户没有登录计算机时,身份验证是使用计算机凭证来执行的。在用户登录计算机之后,身份验证则运用用户凭证来执行。 在用户从该计算机注销之后,身份验证是使用计算机凭证来执行的。这是推荐的设置,因为它确保到无线AP的连接总是使用计算机当前环境的安全凭证(在没有用户登录时是计算机凭证,在某个用户登录时是用户凭证)。这等价于将“AuthMode”设置为“1”

    • “仅针对计算机”身份验证总是使用计算机凭证来执行。 用户身份验证将永远不会执行。这等价于将“AuthMode”设置为“2”

更多信息

有关Windows中的802.11无线局域网支持的更多信息,请参考以下资源:

如要对本专栏的内容发表任何反馈信息,请致信Microsoft TechNet。请注意,我们不保证一定回复您的来信。

欲了解关于The Cable Guy所主持的所有专栏的列表和更多信息,请点击此处