The Cable GuyWindows Vista 的無線群組原則設定
Joseph Davies
此專欄中所包含的 Windows Server "Longhorn" 測試版相關資訊有可能變更。
身為系統管理員,若能集中設定並散佈無線網路設定到 Active Directory 網路中的所有電腦上,您的工作或許會輕鬆一些。好消息,Windows 可支援用於電腦組態設定的特殊群組原則延伸模組,正好可以達到上述目標。這
稱為無線網路 (IEEE 802.11) 原則延伸模組,執行 Windows Vista™、Windows® XP、Windows Server® 2003,以及代號為 "Longhorn" 的最新 Windows Server 版本等系統的電腦,皆可支援此延伸模組。
以下是它的運作方式。不論是要加入網域的電腦,或者是在您啟動電腦的時候 (之後每次啟動時仍會持續使用設定),上述作業系統都會自動下載並套用此群組原則延伸模組中的無線網路設定。您可以從下列群組原則物件編輯器嵌入式管理單元的節點,設定網域群組原則物件的無線網路原則:[電腦設定] | [Windows 設定] | [安全性設定] | [無線網路 (IEEE 802.11) 原則]。
[圖 1] 顯示代號為 "Longhorn" 的 Windows Server 網域或 Windows Server 2003 網域之無線網路 (IEEE 802.11) 原則節點的位置,其中的架構已使用 802.11Schema.ldf 和 802.3Schema.ldf 架構延伸檔案進行延伸 (詳細說明位於 microsoft.com/technet/network/wifi/vista_ad_ext.mspx)。
圖 1** 無線網路 (IEEE 802.11) 原則節點 **(按影像可放大)
根據預設,系統沒有無線網路 (IEEE 802.11) 原則。若要建立新原則,請用滑鼠右鍵按一下主控台樹狀目錄中的 [無線網路 (IEEE 802.11) 原則],然後按一下 [建立新的 Windows XP 原則],或者按一下 [建立新的 Windows Vista 原則]。針對每一種原則類型,您只能建立單一原則。但每個原則中可以包含多重無線網路設定。
Windows XP 原則的原則設定,與我之前在 2003 年 7 月份專欄中所描述的內容十分相似。不過非廣播式無線網路、Wi-Fi 保護的存取 2 (Wi-Fi Protected Access 2,WPA2) 驗證方法,以及 WPA2 驗證的快速漫遊設定,都有新的選項可用。若要支援這些新設定,執行 Windows XP Service Pack 2 (SP2) 的電腦必須安裝 Windows XP SP2 的無線用戶端更新程式,這可從下列網址下載:support.microsoft.com/kb/917021。
Windows Vista 無線原則包括 Windows Vista 和 Windows Server "Longhorn" 無線用戶端專屬的原則設定。若這兩種無線原則類型皆已完成設定,則 Windows XP 無線用戶端以及 Windows Vista 無線用戶端都僅會使用各自的原則設定。若 Windows Vista 的原則設定不存在,Windows Vista 無線用戶端就會使用 Windows XP 的設定。本文說明可以利用 Windows Vista 無線原則進行設定的項目。
在 Windows Vista 無線網路原則的 [一般] 索引標籤上,您可以設定原則的名稱和描述,指定是否啟用 WLAN AutoConfig 服務,並以喜好的優先順序列出與設定無線網路設定檔及其中的設定項目 (請參閱 [圖 2])。您也可以選取設定檔並按一下 [匯出],將設定檔匯出為 XML 檔案。若要匯入 XML 檔案做為無線設定檔,請按一下 [匯入] 並指定檔案位置。
圖 2** 無線網路原則內容 **(按影像可放大)
[圖 3] 顯示 Windows Vista 無線網路原則的 [網路權限] 索引標籤以及其中的預設設定。此索引標籤是 Windows Vista 的新功能,可讓您依名稱指定無線網路,並可允許或拒絕這些網路的存取。例如,您可以建立包含無線網路名稱的允許清單,又稱為服務組識別元 (SSID),其中皆為允許 Windows Vista 無線用戶端連接的無線網路。對於需要管理組織內的筆記型電腦能夠連接之特定無線網路集合 (其中可能包括組織的無線網路以及網際網路服務提供者) 的網路管理員而言,這項功能非常好用。
![圖 3 [網路權限] 索引標籤](images/cc162468.fig03.gif)
圖 3** [網路權限] 索引標籤 **(按影像可放大)
使用拒絕清單,即可以根據名稱指定不允許無線用戶端連接的無線網路集合。這可以有效防止受管理的筆記型電腦連接到其他在接收範圍內的無線網路,例如當組織位於大樓中某一層樓,而毗鄰樓層的其他組織也有使用無線網路。您也可以使用拒絕清單,有效防止受管理的筆記型電腦連接到已知的不安全無線網路。若要建立清單,或者要指定允許或拒絕個別無線網路,請按一下 [新增] 以依名稱加入無線網路,然後指定允許或拒絕該網路的存取。
在 [網路權限] 索引標籤上,亦有可防止連接到臨機操作或基礎架構模式之無線網路的設定。您也可以允許使用者檢視已設定為拒絕的無線網路清單,並且讓任何使用者建立所有使用者設定檔。所有使用者設定檔可用來讓任何具有電腦帳號的使用者,連接到特定的無線網路上。若停用此設定,則只有 Network Administrators 群組或 Network Operators 群組可以在電腦上建立所有使用者無線設定檔。
無線網路設定檔內容
若要從 Windows Vista 無線原則的 [一般] 索引標籤管理無線網路設定檔,請選取現有設定檔並按一下 [編輯] 或 [新增],然後指定新的無線設定檔是否為臨機操作或基礎架構模式的無線網路。
若要建立新的無線設定檔,請先在 [連線] 索引標籤上命名設定檔,再建立適用的無線網路清單 (請參閱 [圖 4])。您可以在 [網路名稱 (SSID)] 中輸入名稱並按一下 [新增],以加入新名稱。您也可以指定使用此設定檔的無線用戶端是否可以在進入接收範圍內時,自動嘗試連接到設定檔中所列出的無線網路 (這還要視 Windows Vista 原則中 [一般] 索引標籤的無線設定檔清單喜好順序而定)。此外,您可以指定如果接收範圍內出現優先順序更高的無線網路,是否要自動中斷目前的無線網路,以及指定此設定檔的無線網路是否為非廣播網路 (亦稱為隱藏網路)。
![圖 4 [連線] 索引標籤](images/cc162468.fig04.gif)
圖 4** [連線] 索引標籤 **(按影像可放大)
在 [安全性] 索引標籤中 (如 [圖 5] 所示),您可以設定該設定檔的無線網路驗證和加密方法。加密方法會視您選擇的驗證方法而定。每一種方法的選項均列於 [圖 6] 中。
Figure 6 安全性方法
| 驗證方法 |
| Open |
| Shared |
| Wi-Fi Protected Access (WPA)-Personal |
| WPA-Enterprise |
| WPA2-Personal |
| WPA2-Enterprise |
| Open with 802.1X |
| 加密方法 |
| Wired Equivalent Privacy (WEP) |
| Temporal Key Integrity Protocol (TKIP) |
| Advanced Encryption Standard (AES) |
![圖 5 [安全性] 索引標籤](images/cc162468.fig05.gif)
圖 5** [安全性] 索引標籤 **(按影像可放大)
若您選取 WPA-Enterprise、WPA2-Enterprise 或者 Open with 802.1X 作為驗證方法,您也可以設定網路驗證方法 (可延伸的驗證通訊協定 [EAP] 類型)、驗證模式 (使用者重新驗證、電腦驗證、使用者驗證或來賓驗證)、放棄驗證之前允許嘗試驗證的失敗次數,以及是否為後續連線快取使用者資訊。最後一項設定會指定當使用者登出時,使用者認證資料即自登錄中移除。如此一來,當下一位使用者登入時,提示中才會要求輸入認證資料 (例如使用者名稱和密碼)。
若要設定 WPA-Enterprise、WPA2-Enterprise 或者 Open with 802.1X 的進階安全性設定,請按一下 [進階]。[圖 7] 顯示預設進階安全性設定的對話方塊。
圖 7** 進階安全性設定對話方塊 **(按影像可放大)
在 IEEE 802.1X 區段中,若初始 EAPOL-Start 訊息沒有回應時,您可指定已傳送 LAN (EAPOL)-Start 訊息的後續 EAP 數量;而在之前傳送的 EAPOL-Start 訊息沒有回應時,您可指定重新傳輸 EAPOL-Start 訊息的時間間隔。您也可以設定驗證用戶端從驗證者收到驗證失敗指示之後,驗證用戶端無法執行任何 802.1X 驗證活動的時間,以及在起始端對端 802.1X 驗證程序之後,驗證用戶端重新傳輸 802.1X 要求之前必須等待的時間間隔。
單一登入 (SSO) 可讓您設定使用者登入與 802.1X 驗證的相對時機,並且在 Windows 登入伺服器上整合使用者登入與 802.1X 驗證認證。在 SSO 區段中,可以設定於使用者登入程序之前或之後立即執行無線驗證,並於程序開始前指定連線延遲的秒數。若驗證方法需要使用者輸入其他認證資料,您也可以指定是否要提示使用者在其他欄位中輸入資料,以及顯示這些欄位的時間長度,並決定此設定檔的無線網路是否針對電腦或使用者驗證使用不同的虛擬 LAN (VLAN)。
在快速漫遊區段中,您可以設定成對主鑰 (PMK) 快取以及預先驗證選項。快速漫遊區段只有在選取 WPA2-Enterprise 作為驗證方法時才會出現。使用 PMK 快取時,無線用戶端和無線存取點 (AP) 會快取 802.1X 驗證結果。因此,當無線用戶端漫遊回到用戶端已通過驗證的無線 AP 時,存取速度會更快。您可以設定 PMK 快取中保留項目的時間上限,以及要保留的項目數量上限。使用預先驗證時,無線用戶端可於接收範圍內的其他無線 AP 先執行 802.1X 驗證,同時保持目前無線 AP 的連線狀態。若無線用戶端漫遊至已預先驗證的無線 AP,則會大幅減少存取時間。您可以設定嘗試預先驗證無線 AP 的次數上限。
如需 Windows 無線支援的詳細資訊,請參閱 microsoft.com/wifi。如需 Windows 群組原則的詳細資訊,請參閱 microsoft.com/gp 網站所提供的資源。
Joseph Davies 是 Microsoft 的技術文件作家,從 1992 年開始教導和編寫 Windows 網路方面的主題。他寫過五本 Microsoft Press 的書,同時也是每個月 TechNet Cable Guy 專欄的作家。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.