我们有 Server 2008 R2 和 Windows 7 Enterprise。
我之所以问这个问题,是因为我们公司有几百台笔记本电脑和上网本。我们没有 NAC 或 RADIUS 服务器,所以所有无线配置都在本地计算机上完成。请不要建议使用 NAC 或 RADIUS,因为我们目前没有能力实现这些功能。
我们有一个 GP 机器启动脚本,可在启动时重置笔记本电脑/上网本上的无线设置。这是因为我们的用户通常会将他们的设备带回家、旅行等,当他们加入其他网络时,我们的网络信息通常会丢失或禁用。我们的脚本会保留用户添加的任何连接,但会重置我们的设置并使其成为列表中的主要项目。
它运行得很好,但偶尔会由于某些未知原因而失败。
我还没有找到任何关于 Windows 如何处理和应用机器启动 GP 以及需要什么的文档。例如,由于网络并非始终存在,但 GP 在离线时仍会运行,我假设 GP 缓存在本地机器的某个位置。它将它缓存在哪里?出于某种原因,当我们将脚本放入 GP 本身时,它不会运行。但是,当我们将脚本放入 GP 文件存储中的文件中并从 GP 调用它时,它运行良好。机器启动脚本是在启用本地无线之前还是之后应用的?
如果我能找到关于整个过程如何运作的权威文献,所有这些问题都可以得到解答。
任何帮助,将不胜感激。
谢谢!
这似乎更加稳定,但还没有人回答实际问题,即关于 GPO 具体如何应用的参考文档在哪里。步骤是什么,条件和限制是什么,等等。
谢谢!
答案1
我不清楚你想做什么,我认为你走错了路。
启动脚本的内容不会被客户端缓存。客户端做缓存脚本的路径,但不缓存脚本本身的内容(任何可执行文件都可以用作脚本,并且除了“脚本”本身之外还可能存在对文件的依赖)。
听起来你已经意识到无法使用无线网络策略组策略客户端扩展 (CSE) 向客户端分发预共享密钥。为了“解决”这一问题,你部署了一个启动脚本,该脚本可能用于netsh导入包含 PSK 的 XML 文件。不过,我不清楚你为什么要在每次启动时都这样做。你只需导入一次,客户端就会保留设置。
您要做的事情永远不会奏效。我知道您不想听到这个,但使用组策略分发网络信息会更好。当然,要做到这一点,您必须转向非基于 PSK 的加密/身份验证策略。
除非您拥有完全落后的接入点,否则最好花 2 到 3 个小时安装 Windows RADIUS 服务器、配置策略、将几个 AP 作为 RADIUS 客户端连接到它,并部署一个测试 GPO,其中配置了新的 WPA-RADIUS 或 WPA2-RADIUS SSID。这样,您就不必为您正在进行的狡猾黑客行为而烦恼了。
如果您必须执行您正在做的事情,最好的办法是将启动脚本放入本地组策略中。当您的客户端启动并“丢失”无线网络设置时,脚本将执行并恢复它们,但启动域组策略处理将在那时完成,并且对域 GPO 的任何更改都不会应用,直到第一次定期策略刷新(然后,只会应用在定期刷新期间可以应用的设置)。客户端必须启动再次以便应用所有域组策略设置。
省去麻烦,按照常规方法做就行了。最后你会更开心,而且你投入的时间会比花几年时间照顾你的狡猾黑客少得多。
答案2
即使在任何网络连接准备好之前,Windows 也允许您登录到工作站。
大多数人不知道 Windows 在启动时使用快速登录优化。在此配置中,如果网络无法及时使用,现有用户将使用缓存的凭据登录。网络可用后,组策略将在后台应用。这还会产生副作用,即如果任何计算机策略需要非登录状态,则需要两次登录才能应用。这可能解释了您的失败。
您可以尝试通过组策略将其设置为“启用”来关闭“快速登录优化”:
Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon