网络专家Windows Vista 无线组策略设置
Joseph Davies
本专栏所包含的关于 Windows Server“Longhorn”的预发布信息可能会有所变动。
作为一名管理员,如果能够对 Active Directory 网络中的所有计算机集中配置并分发无线网络设置,则您的工作可能会变得轻松一些。幸运的是,Windows 支持用于计算机配置的专用组策略扩展,可以让您来实现上述目标。这就是
无线网络 (IEEE 802.11) 策略扩展,只要是运行 Windows Vista™、Windows® XP、Windows Server® 2003 和代码名为“Longhorn”的下一版本 Windows Server 的计算机都予以支持。
其工作原理如下。无论是加入域还是启动域(和在此后的运行过程中),这些操作系统会自动下载组策略扩展中的无线设置并加以应用。您可以从组策略对象编辑器管理单元中的下列节点,为基于域的组策略对象配置无线策略:计算机配置 | Windows 设置 | 安全设置 | 无线网络 (IEEE 802.11) 策略。
图 1 显示代码名为“Longhorn”的 Windows Server 域或 Windows Server 2003 域的无线网络 (IEEE 802.11) 策略节点的位置,上述域架构已经由架构扩展文件 802.11Schema.ldf 和 802.3Schema.ldf 进行了扩展(细节描述请参阅microsoft.com/technet/network/wifi/vista_ad_ext.mspx)。
图 1** 无线网络 (IEEE 802.11) 策略节点 **(单击该图像获得较大视图)
默认情况下并没有无线网络 (IEEE 802.11) 策略。要创建新策略,请右键单击控制台树的无线网络 (IEEE 802.11) 策略,然后单击“Create A New Windows XP Policy”(创建一个新的 Windows XP 策略)或单击“Create A New Windows Vista Policy”(创建一个新的 Windows Vista 策略)。对于每一类型,您只能创建一个单独的策略,但每个策略内可以包含多个无线网络的设置。
对于 Windows XP 策略,其策略设置与我在 2003 年 7 月专栏中撰写的内容非常类似。然而,非广播无线网络还有新的选项,那就是 Wi-Fi Protected Access 2 (WPA2) 身份验证方法和 WPA2 身份验证快速漫游。为支持这些新设置,运行 Windows XP Service Pack 2 (SP2) 的计算机必须安装 Windows XP SP2 无线客户端更新。下载位置:support.microsoft.com/kb/917021。
Windows Vista 无线策略包括专门面向 Windows Vista 和 Windows Server“Longhorn”无线客户端的策略设置。如果配置了这两类的无线策略,Windows XP 无线客户端将只使用自己的策略设置,同样,Windows Vista 无线客户端也将只使用自己的策略设置即可。如果没有 Windows Vista 策略设置,Windows Vista 无线客户端可以使用 Windows XP 设置。本文将描述可使用 Windows Vista 无线策略进行配置的设置。
在 Windows Vista 无线网络策略的“常规”选项卡上,您可以为策略配置其名称和描述,指定是否启用 WLAN AutoConfig 服务,并按优先顺序配置无线网络配置文件及其设置列表(见图 2)。您也可以选中该配置文件并单击“导出”,以 XML 文件格式导出配置文件。如果要导入 XML 文件并作为无线配置文件,请单击“导入”并指定文件位置。
图 2** 无线网络策略属性 **(单击该图像获得较大视图)
图 3 显示了 Windows Vista 无线网络策略的“网络权限”选项卡及其默认设置。这是 Windows Vista 的新增功能,通过该选项卡,您可以使用名称指定无线网络,并允许或拒绝对无线网络的访问。例如,您可以创建一个“允许”列表以包含所有允许访问的无线网络的名称,也称之为“服务集标识符”(SSID),Windows Vista 无线客户端可与其连接。如果网络管理员希望将组织的笔记本电脑连接到指定的一组无线网络(其中会包括该组织的无线网络和 Internet 服务提供商),则上述功能将会非常有用。
图 3** 网络权限选项卡 **(单击该图像获得较大视图)
而通过拒绝列表,您可以使用名称指定一组无线网络,并拒绝无线客户端与其连接。如果希望禁止受管理的笔记本电脑连接到范围内的其他无线网络 — 例如,当一个组织占用一个楼层,而相邻楼层又有其他的无线网络时,上述功能就可以一显身手。使用拒绝列表,您也可以阻止受管理的笔记本电脑连接到已知为不安全的无线网络。创建无线网络列表或指定单独的一个无线网络,以允许或拒绝对其的访问,请单击“添加”,并使用名称来增加无线网络,然后指定允许访问还是拒绝访问。
在“网络权限”选项卡上,也有相关设置可以阻止连接到特定或某类结构模式的无线网络。您还可以让用户查看已配置为拒绝访问的无线网络,并创建“所有用户”配置文件。在该计算机上拥有帐户的任何用户,都可以通过此“所有用户”配置文件连接到指定的无线网络。如果该设置被禁用,那么只有“网络管理员”组或“网络操作员”组的成员才能在计算机上创建“所有用户”无线配置文件。
无线网络配置文件属性
要想通过 Windows Vista 无线策略“常规”选项卡管理无线网络配置文件,请选择现有配置文件并单击“编辑”,或者单击“添加”,然后针对特定或某类结构模式的无线网络指定新的无线配置文件。
如果希望创建新的无线配置文件,可以在“连接”选项卡上指定配置文件名称,然后创建相应的无线网络名称列表(见图 4)。您也可以在“网络名称”(SSID) 中键入并单击“添加”按钮来添加新的名称。您也可以指定:当处于既定范围之内时,使用该配置文件的无线客户端能否自动尝试连接到配置文件中列出的无线网络(取决于 Windows Vista 策略“常规”选项卡上无线配置文件列表的优先顺序)。此外,您还可以指示如果一个优先级更高的无线网络进入范围内时,是否自动断开与当前无线网络之间的连接,并指明配置文件中的无线网络为非广播网络(也称为隐藏网络)。
图 4** “连接”选项卡 **(单击该图像获得较大视图)
在“安全”选项卡上,如图 5 所示,您可以为配置文件中的无线网络配置身份验证和加密方法。加密方法的选择取决于对身份验证方法的选择。图 6 列出了所有可用的选择。
Figure 6 安全方法
| 身份验证方法 |
| 开放 |
| 共享 |
| Wi-Fi Protected Access (WPA) 个人 |
| WPA 企业 |
| WPA2 个人 |
| WPA2 企业 |
| Open with 802.1X |
| 加密方法 |
| 有线对等保密 (WEP) |
| 临时密钥完整性协议 (TKIP) |
| 高级加密标准 (AES) |
图 5** “安全”选项卡 **(单击该图像获得较大视图)
如果您决定选择 WPA 企业、WPA2 企业或 Open with 802.1X 作为身份验证方法,您也可以配置网络身份验证方法(可扩展身份验证协议 [EAP] 类型)、身份验证模式(用户重新身份验证、计算机身份验证、用户身份验证或来宾身份验证)、身份验证取消前能够尝试的次数,并配置是否缓存用户信息以用于后续连接。最后的设置指定在用户注销后,从注册表中删除用户凭据数据。这样,当下一个用户登录时,系统将提示其出示凭据(如用户名和密码)。
要配置 WPA 企业,WPA2 企业和 Open with 802.1X 身份验证方法的高级安全设置,请单击“高级”。图 7 显示默认的“高级”安全设置对话框。
图 7** “高级”安全设置对话框 **(单击该图像获得较大视图)
在“IEEE 802.1X”部分,当没有检索到初始 EAPOL-Start 消息的响应时,就可以指定连续发送 EAP over LAN (EAPOL)-Start 消息的数量;当没有检索到先前发送 EAPOL-Start 消息的响应时,还可以指定重传 EAPOL-Start 消息的时间间隔。您也可以设定,当身份验证客户端从验证程序收到身份验证失败指示后,不执行任何 802.1X 身份验证活动的时段;以及当启动端到端 802.1X 身份验证之后,身份验证客户端等待重传任何 802.1X 请求的时间间隔。
单一登录 (SSO) 可以让您相对于用户登录,配置何时进行 802.1X 身份验证,并将用户登录和 802.1X 身份验证凭据集成到 Windows 登录服务器。SSO 部分的设置,可以在用户登录进程之前或之后,立即执行无线身份验证,并可以在登录进程开始之前指定连接延迟的秒数。您也可以指示,如果身份验证方法要求用户输入其他的凭据,是否向用户提示其他的输入字段,并确定显示这些字段多长时间。您还可以指示,该配置文件的无线网络是否针对计算机或用户身份验证使用不同的虚拟 LAN (VLAN)。
在“快速漫游”部分,您可以配置成对主密钥 (PMK) 缓存和预身份验证选项。只有选择 WPA2 企业作为身份验证方法时,“快速漫游”部分才会出现。使用 PMK 缓存,无线客户端和无线访问点 (AP) 能够缓存 802.1X 身份验证结果。因此,当无线客户端漫游回到已经通过身份验证的无线访问点之后,访问速度会更快。您可以配置 PMK 缓存中保存条目的最长时间和条目的最大数量。使用预身份验证,无线客户端能够在与当前无线访问点保持连接的同时,针对其范围内的其他无线访问点执行 802.1X 身份验证。如果无线客户端漫游到一个已通过预身份验证的无线访问点,就会大幅缩减所需的访问时间。您可以针对无线访问点配置可以尝试预身份验证的最大次数。
有关 Windows 无线支持的详细信息,请参阅microsoft.com/wifi。有关 Windows 组策略的详细信息,请参阅相关资源:microsoft.com/gp。
Joseph Davies是 Microsoft 的一位技术撰稿人,从 1992 年起一直在培训和编写 Windows 网络主题。他曾为 Microsoft Press 编写了五本著作,并且是每月的 TechNet 网络专家专栏的作者。
© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.