Как добавить имя пользователя и пароль профиля беспроводного PEAP во время развертывания MDT
У меня есть ссылка на 64-разрядную версию Windows 7 pro образ, работающий в клиенте Hyper-V, для развертывания MDT 2013 на сервере 2012. Компьютеры автономны без AD, и я не могу контролировать конфигурацию сети. Я хочу настроить ноутбуки для автоматического подключения к нашему беспроводному AP. Эти ноутбуки используются совместно большим количеством молодых студентов, не имеющих учетных данных для единого входа и использующих ограниченное количество ноутбуков.
Я успешно использовал netsh для создания и развертывания профиля беспроводной сети в прошлом во время развертывания, но теперь наш школьный округ обновил беспроводную сеть до корпоративного профиля WPA2 с PEAP, и я могу добавлять имя пользователя и пароль только в интерактивном режиме. Я попытался экспортировать профиль PEAP, и хотя профиль работает, он не содержит имени пользователя и пароля, даже если я использую команду key = clear в netsh (по-видимому, это не работает для PEAP).
Я попытался приостановить эталонный образ и добавить к нему имя пользователя и пароль во время развертывания, но Hyper-v не позволяет привязать беспроводной адаптер к клиенту Hyper-V, поэтому я не могу настроить беспроводную связь. профиль в справочном изображении в интерактивном режиме.
Есть ли способ отредактировать экспортированный XML-файл профиля беспроводной сети PEAP, чтобы добавить имя пользователя и пароль?
Я думал получить копию приостановленного эталонного изображения во время перезагрузки (когда изображение отключено) и передать это изображение на физический компьютер, например сервер Hyper-V, но с беспроводным адаптером, а затем загрузить и надеясь, что я смогу привязать адаптер к имени пользователя, а затем перезагрузить и передать изображение обратно на сервер и продолжить. Я не могу дать пользователям пароль к беспроводной сети, поэтому мне пришлось бы физически вводить его на каждом ноутбуке. Есть предложения?
Если ваш компьютеры находятся в домене Windows AD, правильным способом автоматического добавления профилей беспроводной связи будет использование GPO . Вы можете найти эти параметры в: Конфигурация компьютера > Политики > Настройки Windows > Настройки безопасности > Беспроводная сеть (802.11) Политики .
Я построил сети с разными SSID для BYOD и внутренних компьютеров. Поскольку я не хочу, чтобы компьютеры компании добавлялись вручную в сеть BYOD (DMZ),Я
- Сконфигурировал предпочтительные сетевые параметры с помощью [x] Использовать службу Windows WLAN AutoConfig для клиентов , а затем настроил свою сеть в разделе « Подключиться к доступным сетям ... » . Здесь вы можете добавить сетевой SSID и установить методы аутентификации и шифрования.
- На вкладке « Сетевые разрешения » вы можете скрыть (добавить SSID с Permission: deny ) сети BYOD даже от показа на компьютерах компании, чтобы избежать случайного их использования пользователями, что помешало бы им использовать внутренние ресурсы.
Использование компьютерной аутентификации
Поскольку у вас есть аутентификация WPA2-Enterprise PEAP, у вас, вероятно, установлен сервер RADIUS ( пользователи будут аутентифицироваться с теми же паролями, которые они используют для компьютеров). Теперь вы пытаетесь автоматически сохранить один из паролей пользователя в конфигурации беспроводной сети вашего клиента.
Однако наилучшим методом в этой ситуации было бы использование аутентификации компьютера вместо аутентификации пользователя ] (в режиме аутентификации вашей предпочтительной конфигурации SSID). Благодаря этому вы можете избежать сохранения каких-либо паролей для вашего GPO.
Чтобы использовать компьютерную аутентификацию, ваш сервер RADIUS должен разрешать использование учетных записей компьютеров для аутентификации. Если вы используете Microsoft Network Policy Server, просто добавьте группу Компьютеры домена (или любую другую группу компьютеров, содержащую эти ноутбуки) в свой NPS > Политики > Сетевые политики > Безопасные беспроводные соединения (PEAP) профилируются как значение условия Группы машин .