我有一个 Windows 7 Pro 64 位参考映像,该映像在 Hyper-V 客户端中运行,用于在 Server 2012 上部署 MDT 2013。这些计算机是独立的,没有 AD,我无法控制网络配置。我想配置笔记本电脑以自动连接到我们的无线 AP。这些笔记本电脑由大量没有单点登录凭据的年轻学生共享,并且共享有限数量的笔记本电脑。
过去,在部署过程中,我曾成功使用 netsh 创建和部署无线配置文件,但现在我们学区已将无线升级为带有 PEAP 的 WPA2-enterprise 配置文件,我只能以交互方式添加用户名和密码。我尝试导出 PEAP 配置文件,虽然配置文件可以工作,但即使我在 netsh 中使用 key=clear 命令(显然这对 PEAP 不起作用),它也不包含用户名和密码。
我尝试暂停参考映像并在部署期间将用户名和密码添加到映像,但 hyper-v 不允许将无线适配器绑定到 hyper-v 客户端,因此我无法以交互方式在参考映像中设置无线配置文件。
有没有办法编辑导出的 PEAP xml 无线配置文件来添加用户名和密码?
我考虑在重启期间(当图像处于“关闭”状态时)提取暂停的参考图像的副本,并将该图像传输到 Hyper-V 服务器等物理计算机,但使用无线适配器,然后启动并希望我可以将适配器绑定到用户名,然后重启并将图像传输回服务器并继续。我无法向用户提供无线密码,所以我必须在每台笔记本电脑上手动输入它。有什么建议吗?
答案1
如果您的计算机位于 Windows AD 域中,则自动添加无线配置文件的正确方法是使用邮政总局。您可以在以下位置找到这些设置:计算机配置>政策>Windows 设置>安全设定>无线网络 (802.11) 策略。
我为 BYOD 和内部计算机构建了具有不同 SSID 的网络。由于我不希望将公司计算机手动添加到 BYOD (DMZ) 网络,因此我
- 使用以下方式配置首选网络设置[x] 为客户端使用 Windows WLAN AutoConfig 服务然后在“中配置我的网络”连接到可用网络...”部分。您可以在此处添加网络 SSID 并设置身份验证和加密方法。
- 在 ”网络权限“选项卡可以隐藏(添加 SSID许可:拒绝) 禁止 BYOD 网络显示在公司计算机上,以避免用户意外使用它们,从而阻止他们使用内部资源。
使用计算机身份验证
由于您有 WPA2-Enterprise PEAP 身份验证,因此您可能安装了 RADIUS 服务器(用户将使用与计算机相同的密码进行身份验证)。现在,您正在尝试将其中一个用户密码自动保存到您的客户端无线网络配置中。
然而,在这种情况下,最好的做法是使用计算机身份验证代替用户认证(在认证方式您的首选 SSID 配置)。这样,您就可以避免将任何密码保存到您的 GPO。
为了使用计算机身份验证,您的 RADIUS 服务器必须允许使用计算机帐户进行身份验证。如果您使用的是 Microsoft 网络策略服务器,只需添加组域计算机(或任何其他包含这些笔记本电脑的计算机组)到您的净推荐值>政策>网络策略>安全无线连接 (PEAP)概况作为条件值机器组。