Вопрос или проблема
Мы распределяем беспроводные профили в нашем домене Windows (серверы AD 2012, уровень домена 2008, различные версии Windows на клиентских машинах – в основном Win7 и Win10). Однако, похоже, нам просто не удается достичь желаемого результата в отношении сохраненных учетных данных. В разделе “Конфигурация компьютера” – “Политики” – “Настройки Windows” – “Настройки безопасности” – “Политики беспроводной сети (IEEE 802.11)” мы создали политику “Vista и выше” с одним профилем, и в его панели безопасности есть (по-видимому, единственный применимый) параметр “Кэшировать информацию о пользователе для последующих подключений к этой сети”.
- Если мы снимем отметку с этого параметра, пользователи каждый раз запрашиваются о своем имени пользователя и пароле при каждом подключении к нашей WLAN. Проблема в том, что нам бы хотелось, чтобы учетные данные не приходилось вводить так часто.
- Если мы установим отметку на этом параметре, пользователи запрашиваются только один раз и больше никогда. Проблема в том, что пользователь даже не запрашивается о учетных данных, если пароль был изменен за это время, и, следовательно, сохраненный пароль становится недействительным. В этой ситуации, похоже, нет способа для пользователя восстановить подключение к WLAN.
Вопросы:
- Существует ли способ для пользователей обновить учетные данные для входа в сценарии, описанном выше?
- Предпочтительно, есть ли способ настроить профиль так, чтобы сбой подключения из-за сбоя входа вызывал появление диалогового окна для ввода имени пользователя/пароля, позволяя пользователю сохранить измененные учетные данные?
Мое грязное обходное решение!
Создал новую групповую политику (GP), которая…
- Удаляет все файлы в c:\Windows\wlansvc\Policies (у меня есть только один wi-fi GP профиль, поэтому нет проблем с удалением файлов отсюда)
- Перезагружает службу wlansvc
- С обеими этими настройками GP установлено, что они применяются только один раз.
В фильтрации безопасности GP убрали аутентифицированных пользователей и при необходимости добавили устройство компьютера, где пользователю нужно изменить пароль для своего wi-fi профиля GP.
Очевидно, это требует немного общения с конечным пользователем, который должен повторно ввести свой пароль.
- Добавьте устройство компьютера в GP и попросите их выполнить gpupdate /force
- Удалите их устройство компьютера из GP
- Попросите пользователя выполнить gpupdate /force, чтобы повторно применить wi-fi GP профиль
- Попросите пользователя подключиться к профилю wi-fi GP и скрестите пальцы, что его попросят ввести имя пользователя и пароль.
Ответ или решение
WLAN-профили GPO-настроек и сохранённые пользовательские учётные данные
Введение
В современных организациях управление подключениями к беспроводным сетям (WLAN) посредством групповых политик (GPO) в Windows является важным комментарием для обеспечения безопасности и удобства доступа. Однако, как показано в вашем случае, работа с сохранёнными учётными данными и конфигурациями профилей может вызвать определенные затруднения.
Проблема
Вы столкнулись с проблемами при настройке WLAN-профилей через GPO, использую локальные настройки безопасности в разделе "Компьютерские конфигурации". Основные вопросы заключаются в том, как организовать сохранение учётных данных пользователей при изменении пароля и обеспечении удобного доступа к сети, избегая входа при каждом подключении.
Обсуждение настроек GPO
- Настройки кэширования пользовательской информации:
- Если параметр «Кэшировать информацию пользователя для последующих подключений к этой сети» отключён, пользователи вынуждены вводить учётные данные при каждом подключении. Это создает дополнительные препятствия и технические проблемы для пользователей, особенно в крупных организациях.
- При включении этого параметра пользователи вводят свои учётные данные только один раз. Однако, как вы правильно отметили, если пароль изменяется, пользователи не получают оповещения и не имеют возможности обновить свои учётные данные. Это ведет к проблемам с подключением.
Ответы на поставленные вопросы
-
Обновление учётных данных:
Ваша задача заключается в том, чтобы предоставить пользователям возможность обновления своих учётных данных. Один из подходов заключается в использовании сценариев PowerShell или создания дополнительных GPO, которые будут удалять сохранённые профили WLAN (например, изc:\Windows\wlansvc\Policies). После очистки пользователи будут запрашиваться о вводе новых учётных данных. -
Настройка для запроса учётных данных при неудачном подключении:
К сожалению, стандартные настройки GPO Windows не позволяют автоматически открывать диалог для ввода учётных данных в случае ошибки при подключении к WLAN. Тем не менее, вы можете внедрить политику, в которой периодически (например, раз в месяц) будет происходить очистка учётных данных. В этом случае пользователи будут регулярно запрашиваться о вводе паролей, что позволит им обновлять свои учётные данные.
Рабочие окружения
Ваш подход с созданием отдельной GPO для удаления файлов в каталоге c:\Windows\wlansvc\Policies является разумным временным решением. Процесс, который требует от пользователя активно достигать взаимодействия с GPO и командой gpupdate /force, может быть трудоёмким, но он способен обеспечить обновление учётных данных.
Хотя ваша методика требует определенных усилий со стороны пользователей, она обращает внимание на важность коммуникации с ними. Сообщая заранее о предстоящих изменениях, вы сможете минимизировать неудобства.
Заключение
В итоге, управление профилями WLAN и сохранёнными учётными данными в рамках GPO требует сбалансированного подхода. Необходимо учитывать как безопасность, так и удобство для пользователей. Посмотрите на возможность внедрения автоматизированных сценариев для управления профилями WLAN и учётными данными, чтобы упростить процесс и сделать его более прозрачным.
Организация правильного подхода к управлению WLAN-профилями в Windows может существенно повысить уровень удобства пользователей, а также улучшить общую безопасность сети, предотвратив нежелательные попытки доступа с устаревшими учётными данными.