The Cable GuyEinstellungen der Drahtlosnetzwerk-Gruppenrichtlinie für Windows Vista
Joseph Davies
Dieser Artikel enthält vorläufige Informationen zum Windows Server „Longhorn“, die bis zur endgültigen Version des Produkts Änderungen unterliegen.
Ihre Arbeit als Administrator wäre wahrscheinlich erheblich einfacher, wenn Sie Einstellungen für drahtlose Netzwerke zentral konfigurieren und auf alle Computer in Ihrem Active Directory-Netzwerk verteilen könnten. Sie haben Glück: Windows unterstützt eine spezielle Gruppenrichtlinienerweiterung zur Computerkonfiguration, mit der Sie genau dies tun können. Es handelt sich um die
Erweiterung „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“, die von Computern mit Windows Vista™, Windows® XP, Windows Server® 2003 und der nächsten Version von Windows Server mit dem Codenamen „Longhorn“ unterstützt wird.
Dieses Verfahren funktioniert folgendermaßen. Beim Beitreten zur Domäne oder beim Starten (und danach auf kontinuierlicher Basis) laden diese Betriebssysteme automatisch die Drahtloseinstellungen in dieser Gruppenrichtlinienerweiterung herunter und wenden sie an. Sie können Drahtlosrichtlinien für ein domänenbasiertes Gruppenrichtlinienobjekt in folgendem Knoten im Snap-In „Gruppenrichtlinienobjekt-Editor“ konfigurieren: Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Drahtlosnetzwerkrichtlinien (IEEE 802.11).
In Abbildung 1 wird der Knoten „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“ für eine Domäne eines Windows Servers mit dem Codenamen „Longhorn“ oder für eine Windows Server 2003-Domäne gezeigt, deren Schema mit den Schemaerweiterungsdateien „802.11Schema.ldf“ und „802.3Schema.ldf“ erweitert wurde (beschrieben unter microsoft.com/technet/network/wifi/vista_ad_ext.mspx).
Abbildung 1** Knoten „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“ **(Klicken Sie zum Vergrößern auf das Bild)
Standardmäßig sind keine Drahtlosnetzwerkrichtlinien (IEEE 802.11) vorhanden. Um eine neue Richtlinie zu erstellen, klicken Sie mit der rechten Maustaste auf „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“ in der Konsolenstruktur. Klicken Sie anschließend auf „Eine neue Windows XP-Richtlinie erstellen“ oder „Eine neue Windows Vista-Richtlinie erstellen“. Es kann pro Richtlinie nur eine Richtlinienart erstellt werden, aber jede Richtlinie kann Einstellungen für mehrere drahtlose Netzwerke enthalten.
Die Einstellungen der Windows XP-Richtlinie ähneln den von mir im Juli 2003 beschriebenen Einstellungen. Es gibt jedoch neue Optionen für drahtlose Nicht-Broadcast-Netzwerke, Authentifizierungsmethoden für Wi-Fi Protected Access 2 (WPA2) und für die schnelle Serverspeicherung bei der WPA2-Authentifizierung. Um diese neuen Einstellungen nutzen zu können, muss auf Computern mit Windows XP Service Pack 2 (SP2) das Drahtlosnetzwerkclient-Update für Windows XP SP2 installiert werden. Sie finden dieses Update unter support.microsoft.com/kb/917021.
Die Windows Vista-Drahtlosrichtlinie enthält spezifische Richtlinieneinstellungen für die drahtlosen Clients von Windows Vista und dem Windows Server „Longhorn“. Wenn beide Drahtlosrichtlinien konfiguriert sind, verwenden drahtlose Clients unter Windows XP und Windows Vista jeweils nur ihre eigenen Richtlinieneinstellungen. Wenn keine Windows Vista-Richtlinieneinstellungen vorhanden sind, verwenden die drahtlosen Clients unter Windows Vista die Windows XP-Einstellungen. In diesem Artikel werden die Einstellungen zur Konfiguration der Windows Vista-Drahtlosrichtlinie beschrieben.
Auf der Registerkarte „Allgemein“ für eine Windows Vista-Drahtlosnetzwerkrichtlinie können Sie einen Namen und eine Beschreibung für die Richtlinie konfigurieren, angeben, ob der WLAN-Autokonfigurationsdienst aktiviert ist und die Liste der Profile drahtloser Netzwerke sowie ihre Einstellungen in bevorzugter Reihenfolge konfigurieren (siehe Abbildung 2). Sie können ein Profil in eine XML-Datei exportieren, indem Sie das Profil auswählen und auf „Exportieren“ klicken. Um eine XML-Datei mit einem Drahtlosprofil zu importieren, klicken Sie auf „Importieren“ und geben den Speicherort der Datei an.
Abbildung 2** Eigenschaften von Drahtlosnetzwerkrichtlinien **(Klicken Sie zum Vergrößern auf das Bild)
In Abbildung 3 ist die Registerkarte „Netzwerkberechtigungen“ für eine Drahtlosnetzwerkrichtlinie unter Windows Vista mit den Standardeinstellungen dargestellt. Diese Registerkarte ist neu in Windows Vista und ermöglicht Ihnen, drahtlose Netzwerke mit Namen anzugeben und den Zugriff darauf zuzulassen oder zu verweigern. Sie können z. B. eine Liste „Zulassen“ erstellen, die die Namen drahtloser Netzwerke enthält, auch bekannt als SSID (Service Set Identifier), zu denen ein drahtloser Client unter Windows Vista eine Verbindung herstellen kann. Dies ist sinnvoll, wenn Netzwerkadministratoren erreichen möchten, dass Laptopcomputer in einem Unternehmen Verbindungen mit bestimmten Drahtlosnetzwerken herstellen, z. B. dem Drahtlosnetzwerk des Unternehmens und drahtlosen Netzwerken von Internetdienstanbietern.
Abbildung 3** Registerkarte „Netzwerkberechtigungen“ **(Klicken Sie zum Vergrößern auf das Bild)
In der Liste „Verweigern“ können Sie die Namen von Drahtlosnetzwerken angeben, mit denen der Client keine Verbindung herstellen darf. Hiermit kann verhindert werden, dass verwaltete Laptops eine Verbindung zu anderen drahtlosen Netzwerken herstellen, die sich in Reichweite befinden, z. B., wenn ein Unternehmen sich in einem Stockwerk eines Gebäudes befindet und drahtlose Netzwerke anderer Unternehmen auf angrenzenden Stockwerken vorhanden sind. Sie können mithilfe der Liste „Verweigern“ auch verhindern, dass verwaltete Laptops sich mit bekannten, ungesicherten Drahtlosnetzwerken verbinden. Um eine Liste zu erstellen oder einzelne drahtlose Netzwerke anzugeben, für die der Zugriff zugelassen oder verweigert werden soll, klicken Sie auf „Hinzufügen“ und geben ein drahtloses Netzwerk mit Namen und Zugriffsrechten an.
Auf der Registerkarte „Netzwerkberechtigungen“ gibt es auch Einstellungen, mit denen Verbindungen zu Ad-Hoc- und Infrastrukturnetzwerken verhindert werden können. Sie können es Benutzern ermöglichen, drahtlose Netzwerke anzuzeigen, für die eine Verweigerung festgelegt wurde, und ein Profil für alle Benutzer anzulegen. Ein Benutzerprofil für alle Benutzer kann verwendet werden, um allen Benutzern mit einem Konto auf dem Computer eine Verbindung zu einem bestimmten drahtlosen Netzwerk zu ermöglichen. Wenn diese Einstellung deaktiviert ist, können nur Benutzer der Netzwerkadministratoren- oder Netzwerkoperatorengruppe Profile für alle Benutzer eines Computers erstellen.
Eigenschaften von Drahtlosnetzwerkprofilen
Um ein Drahtlosnetzwerkprofil auf der Registerkarte „Allgemein“ der Windows Vista-Drahtlosrichtlinie zu verwalten, wählen Sie ein vorhandenes Profil aus und klicken auf „Bearbeiten“. Alternativ klicken Sie auf „Hinzufügen“ und geben anschließend an, ob das neue drahtlose Profil für ein drahtloses Ad-Hoc- oder für ein Infrastrukturnetzwerk gedacht ist.
Um ein neues drahtloses Profil zu erstellen, beginnen Sie auf der Registerkarte „Verbindung“ durch Benennen des Profils und Erstellen einer Liste mit den Namen der drahtlosen Netzwerke, für die das Profil gelten soll (siehe Abbildung 4). Sie können neue Namen hinzufügen, indem Sie sie in das Feld „Netzwerkname (SSID)“ eingeben und auf „Hinzufügen“ klicken. Sie können auch angeben, ob der drahtlose Client, der dieses Profil verwendet, automatisch versuchen soll, eine Verbindung zu den im Profil genannten drahtlosen Netzwerken herzustellen, wenn sie sich in Reichweite befinden (je nach Reihenfolge der Drahtlosprofile auf der Registerkarte „Allgemein“ der Windows Vista-Richtlinie). Zusätzlich können Sie festlegen, ob die Verbindung zu diesem drahtlosen Netzwerk automatisch getrennt werden soll, wenn sich ein bevorzugtes drahtloses Netzwerk innerhalb der Reichweite befindet, und angeben, ob es sich bei den Drahlosnetzwerken in diesem Profil um Nicht-Broadcast-Netzwerke (auch bekannt als versteckte Netzwerke) handelt.
Abbildung 4** Registerkarte „Verbindung“ **(Klicken Sie zum Vergrößern auf das Bild)
Auf der Registerkarte „Sicherheit“, die in Abbildung 5 dargestellt ist, können Sie die Authentifizierungs- und Verschlüsselungsmethoden für die drahtlosen Netzwerke im Profil konfigurieren. Die Verschlüsselungsmethode hängt von der gewählten Authentifizierungsmethode ab. Die jeweiligen Optionen werden in Abbildung 6 gezeigt.
Figure 6 Sicherheitsmethoden
| Authentifizierungsmethoden |
| Offen |
| Freigegeben |
| Wi-Fi Protected Access (WPA)-Personal |
| WPA-Enterprise |
| WPA2-Personal |
| WPA2-Enterprise |
| Mit 802.1X öffnen |
| Verschlüsselungsmethoden |
| Wired Equivalent Privacy (WEP) |
| Temporal Key Integrity Protocol (TKIP) |
| Erweiterter Verschlüsselungsstandard (AES) |
Abbildung 5** Registerkarte „Sicherheit“ **(Klicken Sie zum Vergrößern auf das Bild)
Wenn Sie „WPA-Enterprise“, „WPA2-Enterprise“ oder „Mit 802.1X öffnen“ als Authentifizierungsmethode auswählen, können Sie auch die Netzwerkauthentifizierungsmethode (den Typ des Extensible Authentication-Protokolls [EAP]), den Authentifizierungsmodus (erneute Benutzerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung) sowie die Anzahl von Authentifizierungsversuchen bis zum Abbruch des Authentifizierungsvorgangs konfigurieren und angeben, ob Benutzerinformationen für spätere Verbindungen zwischengespeichert werden sollen. Diese letzte Einstellung gibt an, ob die Benutzeranmeldedaten beim Abmelden des Benutzers aus der Registrierung gelöscht werden sollen. In diesem Fall wird der nächste Benutzer, der sich anmeldet, zur Eingabe seiner Anmeldeinformationen (wie z. B. Benutzername und Kennwort) aufgefordert.
Um erweiterte Sicherheitseinstellungen für die Authentifizierungsmethoden „WPA-Enterprise“, „WPA2-Enterprise“ oder „Mit 802.1X öffnen“ zu konfigurieren, klicken Sie auf „Erweitert“. In Abbildung 7 ist das Dialogfeld „Erweiterte Sicherheitseinstellungen“ abgebildet.
Abbildung 7** Dialogfeld „Erweiterte Sicherheitseinstellungen“ **(Klicken Sie zum Vergrößern auf das Bild)
Im Abschnitt „IEEE 802.1X“ können Sie die Anzahl aufeinander folgender EAPOL-Startmeldungen (EAP over LAN) angeben, die geschickt werden, wenn keine Antwort auf die anfänglichen EAPOL-Startmeldungen empfangen werden, sowie das Zeitintervall für die Neusendung der EAPOL-Startmeldungen, wenn keine Antwort auf die vorher gesendete EAPOL-Startmeldung empfangen wurde. Sie können auch den Zeitraum festlegen, für den der authentifizierende Client keine 802.1X-Authentifizierungsaktivität durchführen soll, nachdem er eine Authentifizierungsfehlermeldung vom Authentifikator erhalten hat, sowie den Zeitraum, den der authentifizierende Client warten soll, bevor er 802.1X-Anforderungen nach der Initiierung der End-to-End-802.1X-Authentifizierung erneut übermittelt.
Mithilfe der einmaligen Anmeldung (Single sign-on, SSO) kann konfiguriert werden, wie die 802.1X-Authentifizierung relativ zur Benutzeranmeldung stattfinden soll. Außerdem können die Benutzeranmeldeinformationen und 802.1X-Authentifizierungsinformationen auf dem Windows-Anmeldeserver integriert werden. Im Abschnitt „SSO“ stehen Einstellungen für die drahtlose Authentifizierung vor oder nach dem Benutzeranmeldeprozess und für das Festlegen der Verbindungsverzögerung in Sekunden zur Verfügung. Sie können auch angeben, ob der Benutzer zu zusätzlichen Eingaben aufgefordert werden soll, wenn die Authentifizierungsmethode zusätzliche Anmeldeinformationen erfordert, wie lange diese zusätzlichen Felder angezeigt werden sollen und ob die drahtlosen Netzwerke für dieses Profil ein anderes virtuelles LAN (VLAN) für Computer oder die Benutzerauthentifizierung verwenden sollen.
Im Abschnitt „Schnelle Serverspeicherung“ können Sie die PMK-Zwischenspeicherung und Vorauthentifizierungsoptionen konfigurieren. Der Abschnitt „Schnelle Serverspeicherung“ wird nur angezeigt, wenn Sie WPA2-Enterprise als Authentifizierungsmethode auswählen. Bei der PMK-Zwischenspeicherung werden die Ergebnisse der 802.1X-Authentifizierungen von den drahtlosen Clients und Drahtloszugriffspunkten zwischengespeichert. Der Zugriff auf einen Drahtloszugriffspunkt, den der Client bereits vorher authentifiziert hat, ist wesentlich schneller. Sie können eine maximale Zeit konfigurieren, die ein Eintrag im PMK-Zwischenspeicher beibehalten werden soll, sowie die maximale Anzahl der Einträge. Dank der Vorauthentifizierung kann ein drahtloser Client eine 802.1X-Authentifizierung mit anderen Drahtloszugriffspunkten in seiner Reichweite durchführen, während er noch mit einem anderen Drahtloszugriffspunkt verbunden ist. Wenn der drahtlose Client auf einen Drahtloszugriffspunkt zugreift, den er bereits zuvor authentifiziert hat, wird die Zugriffszeit erheblich verkürzt. Sie können konfigurieren, wie oft die Vorauthentifizierung eines Drahtloszugriffspunkts maximal versucht werden soll.
Weitere Informationen zum Support für Drahtlosnetzwerke in Windows finden Sie unter Microsoft.com/wifi. Weitere Informationen zu Windows-Gruppenrichtlinien finden Sie unter Microsoft.com/gp.
Joseph Daviesist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 zu Themen aus dem Bereich der Windows-Netzwerke. Er hat fünf Bücher für Microsoft Press verfasst und ist der Autor der monatlich erscheinenden TechNet-Rubrik„The Cable Guy“.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.