Назад | Перейти на главную страницу

Как добавить имя пользователя и пароль профиля беспроводного PEAP для во время развертывания MDT

У меня есть 64-разрядный эталонный образ Windows 7 pro, работающий в клиенте Hyper-V для развертывания MDT 2013 на сервере 2012. Компьютеры автономны без AD, и я не могу контролировать конфигурацию сети. Я хочу настроить ноутбуки для автоматического подключения к нашему беспроводному AP. Эти ноутбуки используются большим количеством молодых студентов, не имеющих учетных данных для единого входа и использующих ограниченное количество ноутбуков.

В прошлом я успешно использовал netsh для создания и развертывания профиля беспроводной сети во время развертывания, но теперь наш школьный округ обновил беспроводную сеть до корпоративного профиля WPA2 с PEAP, и я могу добавить имя пользователя и пароль только в интерактивном режиме. Я попытался экспортировать профиль PEAP, и хотя профиль работает, он не содержит имени пользователя и пароля, даже если я использую команду key = clear в netsh (по-видимому, это не работает для PEAP).

Я попытался приостановить эталонный образ и добавить имя пользователя и пароль к образу во время развертывания, но Hyper-v не позволяет привязать беспроводной адаптер к клиенту Hyper-V, поэтому я не могу настроить профиль беспроводной сети в ссылаться на изображение в интерактивном режиме.

Есть ли способ отредактировать экспортированный файл беспроводного профиля PEAP xml, чтобы добавить имя пользователя и пароль?

Я думал о том, чтобы извлечь копию приостановленного эталонного изображения во время перезагрузки (пока изображение "выключено") и передать это изображение на физический компьютер, такой как сервер Hyper-V, но с беспроводным адаптером, а затем загрузиться и надеяться, что я смогу привяжите адаптер к имени пользователя, а затем перезагрузите и передайте образ обратно на сервер и продолжите. Я не могу дать пользователям пароль к беспроводной сети, поэтому мне пришлось бы физически вводить его на каждом ноутбуке. Какие-либо предложения?

Если ваши компьютеры находятся в домене Windows AD, правильным способом автоматического добавления профилей беспроводной связи будет использование GPO. Вы можете найти эти настройки в разделе: Конфигурация компьютера > Политики > Настройки Windows > Настройки безопасности > Политики беспроводной сети (802.11).

Я строил сети с разными SSID для BYOD и внутренних компьютеров. Поскольку я не хочу, чтобы компьютеры компании добавлялись вручную в сеть BYOD (DMZ), я

  • Настроил предпочтительные параметры сети с помощью [x] Использовать службу Windows WLAN AutoConfig для клиентов а затем настроил мою сеть в "Подключиться к доступным сетям ...". Там вы можете добавить сетевой SSID и установить методы аутентификации и шифрования.
  • На "Сетевые разрешения"вкладку, которую можно скрыть (добавьте SSID с Разрешение: отказать) сети BYOD даже не отображаются на компьютерах компании, чтобы избежать случайного их использования пользователями, что помешает им использовать внутренние ресурсы.

Использование компьютерной аутентификации

Поскольку у вас есть аутентификация WPA2-Enterprise PEAP, у вас, вероятно, установлен сервер RADIUS (пользователи будут аутентифицироваться с теми же паролями, которые они используют для компьютеров). Теперь вы пытаетесь автоматически сохранить один из паролей пользователя в конфигурации беспроводной сети вашего клиента.

Однако лучше всего в этой ситуации использовать Компьютерная аутентификация вместо того Аутентификация пользователяРежим аутентификации вашей предпочтительной конфигурации SSID). Благодаря этому вы можете избежать сохранения каких-либо паролей в GPO.

Чтобы использовать компьютерную аутентификацию, ваш RADIUS-сервер должен разрешать использование компьютерных учетных записей для аутентификации. Если вы используете Microsoft Network Policy Server, просто добавьте группу Компьютеры домена (или любой другой компьютерной группы, содержащей эти ноутбуки) на ваш NPS > Политики > Сетевые политики > Безопасные беспроводные соединения (PEAP) профили как ценность условия Группы машин.