Как добавить имя пользователя и пароль для беспроводного профиля PEAP при развертывании MDT

Question

Как добавить имя пользователя и пароль для беспроводного профиля PEAP при развертывании MDT

У меня есть 64-разрядное эталонное изображение Windows 7 pro, запущенное в клиенте Hyper-V для развертывания MDT 2013 на сервере 2012. Компьютеры автономны без AD, и я не контролирую конфигурацию сети. Я хочу предоставить ноутбуки для автоматического подключения к нашей беспроводной точке доступа. Эти ноутбуки используются большим количеством молодых студентов, которые не имеют учетных данных для единого входа и используют ограниченное количество ноутбуков.

В прошлом я успешно использовал netsh для создания и развертывания профиля беспроводной сети во время развертывания, но теперь наш школьный округ обновил беспроводную связь до профиля WPA2-enterprise с PEAP, и я могу только добавлять имя пользователя и пароль в интерактивном режиме. Я попытался экспортировать профиль PEAP, и хотя профиль работает, он не содержит имени пользователя и пароля, даже если я использую команду key=clear в netsh (очевидно, это не работает для PEAP).

Я пытался приостановить эталонное изображение и добавить имя пользователя и пароль к изображению во время развертывания, но гипер-v не позволяет связывать беспроводной адаптер к Hyper-V клиенту, поэтому я не могу настроить беспроводной профиль в эталонное изображение в интерактивном режиме.

Есть ли способ отредактировать экспортированный файл профиля беспроводной сети PEAP xml, добавив имя пользователя и пароль?

Я думал о том, чтобы вытащить копию приостановленного эталонного изображения во время перезагрузки (пока изображение выключено) и перенести это изображение на физический компьютер, такой как сервер hyper-v, но с беспроводным адаптером, а затем загрузить и надеяться, что смогу привязать адаптер к имени пользователя, а затем перезагрузить компьютер и перенести образ обратно на сервер и продолжить. Я не могу дать беспроводной пароль пользователям, поэтому мне пришлось бы физически вводить его на каждом ноутбуке. Какие-либо предложения?

0

deployment mdt provisioning peap

Источник

james_time 26 мар '17 в 05:24

1 ответ

Другие вопросы по тегам deployment mdt provisioning peap

Esa Jokinen 26 мар '17 в 07:57 2017-03-26 07:57 · Answer 1 · 2017-03-26 07:57

Если ваши компьютеры находятся в домене Windows AD, правильный способ автоматического добавления профилей беспроводной сети - использование объекта групповой политики. Эти параметры можно найти в разделе: Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики беспроводной сети (802.11).

Я построил сети, которые имеют разные SSID для BYOD и внутренних компьютеров. Поскольку я не хочу, чтобы компьютеры компании добавлялись вручную в сеть BYOD (DMZ), я

Сконфигурируйте предпочтительные параметры сети с помощью [x]. Воспользуйтесь услугой Windows WLAN AutoConfig для клиентов, а затем настройте мою сеть в разделе " Подключение к доступным сетям... ". Там вы можете добавить сетевой SSID и установить методы аутентификации и шифрования.
На вкладке " Сетевые разрешения " вы можете скрыть (добавить SSID с разрешением: запретить) сети BYOD даже не показывать на компьютерах компании, чтобы избежать случайного их использования пользователями, что помешает им использовать внутренние ресурсы.

Использование проверки подлинности компьютера

Поскольку у вас есть аутентификация WPA2-Enterprise PEAP, у вас, вероятно, установлен сервер RADIUS (пользователи будут аутентифицироваться с теми же паролями, которые они используют для компьютеров). Теперь вы пытаетесь автоматически сохранить один из паролей пользователя в конфигурации вашей клиентской беспроводной сети.

Однако в этой ситуации лучше всего использовать проверку подлинности компьютера вместо проверки подлинности пользователя (в режиме проверки подлинности предпочитаемой конфигурации SSID). Благодаря этому вы можете избежать сохранения любых паролей в вашем объекте групповой политики.

Чтобы использовать проверку подлинности компьютера, ваш сервер RADIUS должен разрешить использование учетных записей компьютеров для проверки подлинности. Если вы используете Microsoft Network Policy Server, просто добавьте группу Доменные компьютеры (или любую другую группу компьютеров, содержащую эти ноутбуки) в профили NPS > Политики > Сетевые политики > Защищенные беспроводные соединения (PEAP) в качестве значения условия Группы компьютеров.