在组策略中为无线网络定义 802.1X 身份验证

1. 在“无线网络 (IEEE 802.11) 策略”中，双击要为其配置 802.1X 身份验证的无线网络策略。
2. 在“网络”下的“首选网络”选项卡上，选择是为现有无线网络还是为新的无线网络配置 802.1X 身份验证：
   • 要为现有无线网络配置 802.1X 身份验证，请单击要为其配置 802.1X 身份验证的无线网络，然后单击“编辑”。
   • 要为新的无线网络配置 802.1X 身份验证，请单击“添加”。
3. 在“IEEE 802.1x”选项卡上，执行以下任一项操作：
   • 要为此无线网络启用 IEEE 802.1X 身份验证，请选中“启用使用 IEEE 802.1x 的网络访问控制”复选框。默认情况下将选中此复选框。
   • 要为无线网络禁用 IEEE 802.1X 身份验证，请清除“启用使用 IEEE 802.1x 的网络访问控制”复选框。
4. 在“EAPOL 启动消息”中，指定是否通过 LAN (EAPOL) 启动消息数据包传输“可扩展的身份验证协议”，如果是，请指定如何传输。
5. 在“参数（秒）”中，指定 EAPOL 启动消息数据包参数。
6. 在“EAP 类型”中，单击要用于此无线网络的 EAP 类型。
7. 如果在“EAP 类型”中选中“智能卡或其他证书”，请单击“设置”，并在“智能卡或其他证书属性”中执行以下操作：
   • 要允许无线客户端使用驻留在其智能卡上用于身份验证的证书，请单击“使用我的智能卡”。
   • 要允许无线客户端使用驻留在其计算机的证书存储区中用于身份验证的证书，请单击“在此计算机上使用证书”，然后指定是否使用简单证书选择。
   • 要验证为客户端计算机提供的服务器证书仍然有效，请选中“验证服务器证书”复选框，单击“连接这些服务器”复选框，指定客户端计算机将自动连接的一个或多个服务器，然后指定受信根证书颁发机构。
   • 要允许用户查看有关所选根证书颁发机构的详细信息，请单击“查看证书”。
   • 当智能卡或证书中的用户名与所登录的域中的用户名不同时，若允许用户指定另一用户名，请选中“为此连接使用一个不同的用户名”复选框。
8. 如果在“EAP 类型”中选中“受保护的 EAP (PEAP)”，请单击“设置”，然后执行以下操作：
   • 要验证为客户端计算机提供的服务器证书仍然有效，请选中“验证服务器证书”复选框，单击“连接这些服务器”复选框，指定客户端计算机将自动连接的一个或多个服务器，然后指定受信根证书颁发机构。
   • 在“选择身份认证方法”中，单击客户端要在 PEAP 内使用的身份验证方法，然后单击“配置”。
     • 如果您选中“安全密码 (EAP-MSCHAP v2)”，那么，请在“EAP MSCHAP v2 属性”中指定是否使用客户端计算机上的用户在 Windows 登录屏键入的用于身份认证的用户名和密码（以及域，如果适用），然后单击“确定”。
     • 如果您选中“智能卡或其他证书”，那么，请在“智能卡或其他证书属性”中，按照步骤 7 中的说明并根据需要配置设置，然后单击“确定”。
   • 要为无线客户端启用快速重新连接，请选中“启用快速重新连接”复选框。有关 PEAP 快速重新连接的详细信息，请参阅“注意”。
9. 在“IEEE 802.1x”选项卡上，执行以下操作：
   • 当用户信息或计算机信息不可用时，要指定客户端计算机尝试对网络进行身份验证，请选中“当用户或计算机信息不可用时作为来宾进行身份验证”复选框。
   • 如果在用户没有登录时要指定客户端计算机尝试对网络进行身份验证，请选中“当计算机信息可用时作为计算机进行验证”复选框，并在“计算机身份验证”中单击一个选项，指定计算机应如何尝试身份验证。有关可以为“计算机身份验证”选择的每个选项的信息，请参阅“注意”。

要点

• 强烈建议当连接到 802.11 无线网络时，使用 802.1X 身份验证。802.1X 是一个 IEEE 标准，该标准通过提供对集中式用户标识、身份验证、动态密钥管理和记帐的支持来增强安全性和部署。
• 为了增强在 Windows XP Service Pack 1 和 Windows Server 2003 家族中的安全性，802.1X 身份验证仅适用于需要使用网络密钥 (WEP) 的访问点（基础结构）网络。WEP 通过加密无线客户端和无线访问点之间发送的数据来提供数据加密。有关无线网络安全性的其他信息，请参阅“相关主题”。

注意

• 要执行此过程，您必须是 Active Directory 中 Domain Admins 组的成员，或必须具有编辑组策略对象的权限（详细信息，请参阅“相关主题”）。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。
• 要打开“无线网络 (IEEE 802.11) 策略”，则必须访问基于 Active Directory 的无线网络策略。详细信息，请参阅“相关主题”。
• 要定义 802.1X 身份验证，必须选择一个现有的首选无线网络，或者必须定义一个新的首选无线网络。有关如何定义首选无线网络的信息，请参阅“相关主题”。
• 只要将每一个无线访问点配置为同一 IAS (RADIUS) 服务器的客户端，PEAP 快速重新连接允许漫游用户在同一网络的不同无线访问点之间移动时保持连续的无线网络连接。另外，无线客户端和 RADIUS 服务器都必须启用快速重新连接。
• 如果选中“当计算机信息可用时作为计算机进行验证”复选框，您就可以选择以下选项之一：
  • 使用用户身份验证 (With user authentication)。选择此选项，并且用户没有登录到计算机时，使用计算机凭据执行身份验证。用户登录到计算机时，使用计算机凭据维持身份验证。如果用户移动到新的无线访问点，就使用用户凭据执行身份验证。
  • 使用用户重新身份验证（推荐）[With user re-authentication (recommended)]。选择此选项，并且用户没有登录到计算机时，使用计算机凭据执行身份验证。用户登录到计算机后，使用用户凭据执行身份验证。当用户从计算机注销时，使用计算机凭据执行身份验证。
  • 只使用计算机凭据 (Computer only)。选择此选项时，始终使用计算机凭据执行身份验证。从不执行用户身份验证。