請參考
http://support.microsoft.com/kb/317327/en-us
http://support.microsoft.com/kb/317680
2009年8月21日 星期五
透過群組原則派送無線網路設定
利用AD可以將無線網路設定派送到大量個人端電腦,即可簡化管理,不讓連線方式產生漏洞
對於人數不多的應用環境來說,一般電腦的無線網路的設定通常是採手動方式完成,而在數十人,乃至於百人等級的中、大型企業環境,除了需設定的電腦數更多,不同部門所存取的無線網路基地臺也要預先指定,因此利用Windows AD的群組原則,我們可以將相關的設定,派送到個人端電腦運作。
透過兩階段完成無線網路的加密設定
透過群組原則,除了能告知個人端電腦可供連線的SSID之外,也可以一併完成無線網路的加密設定,其中後者在操作上大致可以分為身分驗證,及加密協定等兩個部分。
身分驗證
在小型的網路環境中,利用共享金鑰(Pre-Shared Key,PSK)的方式,就能有效控管無線網路的存取,不過在強調集中控管的企業端環境當中,上述做法很明顯的便不能符合需求,因為當人員異動時,資訊人員就必須向所有人重新公告一次密碼,造成管理上很大的不便,因此,架構上可以整合RADIUS伺服器,驗證連線使用者身分的802.1x,便成為較為合適的一種做法。
以此次的測試環境為例,我們主要是利用Windows Server 2003內建的「網際網路驗證服務」做為RADIUS伺服器;帳號伺服器的部分,則是連接Windows AD,一旦需要取消某些人員存取無線網路的權限時,只需在Windows AD的主控臺,刪除指定的帳號,或者將其停用便可完成設定,同時不會影響到其他人使用無線網路。
加密協定
由於無線網路的溢波特性,使得身分驗證並不能有效保證連線安全,因此必須整合其他的方式加密封包,才讓保證基地臺傳送出的封包無法被其他人所輕易地側錄解讀。
常用的加密協定有WEP、WPA,及WPA2等3種,其中WEP目前已經很少有人使用,主要是因為它在技術上已經能夠被有效破解,只要手邊有一張可以收集無線網路封包的網卡,再搭配Aircrack-ng等破解軟體就可以輕易達成,因此無論是一般個人,或者是企業端,在無線網路的加密設定上,大多是以WPA、WPA2等2者為主。
不過,如果你的AD伺服器是建置在SP1版本之前的Windows Server 2003伺服器,只能透過群組原則完成WEP的加密設定。
透過群組原則派送802.1x、WPA的加密設定
這裡我們將示範如何透過Windows AD派送802.1x,及WPA的加密設定到個人端電腦運作。我們假定大多數需要連接無線網路的筆記型電腦都是屬於企業所有,因此必須加入網域,更新必要的群組原則設定,至於少數由使用者,或者是訪客所攜帶的筆記型電腦,則不在我們此次的管理範圍之內。對於這些沒有辦法透過Windows AD管理的電腦,多數企業的做法,是規畫專用的一組SSID,功能上僅能允許存取特定的網路資源,以避免重要的機密資料外洩。
首先,啟動Windows AD的群組原則編輯器,在「電腦設定>Windows設定>安全性設定」路徑下的「無線網路(IEEE 802.11)」項目,新增一組無線網路的設定檔,在此,我們可以指定整個網域,或者特定的組織單位所能存取的SSID。
在SSID的細部設定中,可以自行定義所要使用的加密協定類型,以及是否要採用802.1x的方式,來控管使用者存取無線網路的權限。
在802.1x的部分,需要注意的是所採用的驗證方式,在SP2版本的Windows Server 2003 AD伺服器,預設是透過Protected Extensible Authentication Protocol(PEAP),也就是單純以帳號、密碼來驗證使用者存取無線網路的權限,如果想要更進一步,整合Public Key Infrastructure(PKI)進行雙因子驗證,保證連線的使用者為本人,這時可選擇改用智慧卡及憑證的選項。
由於RADIUS在架構上,是由RADIUS伺服器、帳號資料庫,及憑證等3者所構成,其中前2者是必要元素,因此在PEAP的細部設定中,我們取消了憑證伺服器的選項,僅透過Windows AD使用者的帳號、密碼,確認其是否具備存取無線網路的權限。
最後一項需要設定的是802.1x的驗證方法,這裡需要確認已經勾選使用登入Windows的帳號、密碼進行802.1x驗證的選項,當個人端電腦登入網域的同時,也會將我們輸入的一組網域使用者帳號、密碼自動帶入802.1x的驗證流程,完成無線網路的加密連線。文⊙楊啟倫
對於人數不多的應用環境來說,一般電腦的無線網路的設定通常是採手動方式完成,而在數十人,乃至於百人等級的中、大型企業環境,除了需設定的電腦數更多,不同部門所存取的無線網路基地臺也要預先指定,因此利用Windows AD的群組原則,我們可以將相關的設定,派送到個人端電腦運作。
透過兩階段完成無線網路的加密設定
透過群組原則,除了能告知個人端電腦可供連線的SSID之外,也可以一併完成無線網路的加密設定,其中後者在操作上大致可以分為身分驗證,及加密協定等兩個部分。
身分驗證
在小型的網路環境中,利用共享金鑰(Pre-Shared Key,PSK)的方式,就能有效控管無線網路的存取,不過在強調集中控管的企業端環境當中,上述做法很明顯的便不能符合需求,因為當人員異動時,資訊人員就必須向所有人重新公告一次密碼,造成管理上很大的不便,因此,架構上可以整合RADIUS伺服器,驗證連線使用者身分的802.1x,便成為較為合適的一種做法。
以此次的測試環境為例,我們主要是利用Windows Server 2003內建的「網際網路驗證服務」做為RADIUS伺服器;帳號伺服器的部分,則是連接Windows AD,一旦需要取消某些人員存取無線網路的權限時,只需在Windows AD的主控臺,刪除指定的帳號,或者將其停用便可完成設定,同時不會影響到其他人使用無線網路。
加密協定
由於無線網路的溢波特性,使得身分驗證並不能有效保證連線安全,因此必須整合其他的方式加密封包,才讓保證基地臺傳送出的封包無法被其他人所輕易地側錄解讀。
常用的加密協定有WEP、WPA,及WPA2等3種,其中WEP目前已經很少有人使用,主要是因為它在技術上已經能夠被有效破解,只要手邊有一張可以收集無線網路封包的網卡,再搭配Aircrack-ng等破解軟體就可以輕易達成,因此無論是一般個人,或者是企業端,在無線網路的加密設定上,大多是以WPA、WPA2等2者為主。
不過,如果你的AD伺服器是建置在SP1版本之前的Windows Server 2003伺服器,只能透過群組原則完成WEP的加密設定。
透過群組原則派送802.1x、WPA的加密設定
這裡我們將示範如何透過Windows AD派送802.1x,及WPA的加密設定到個人端電腦運作。我們假定大多數需要連接無線網路的筆記型電腦都是屬於企業所有,因此必須加入網域,更新必要的群組原則設定,至於少數由使用者,或者是訪客所攜帶的筆記型電腦,則不在我們此次的管理範圍之內。對於這些沒有辦法透過Windows AD管理的電腦,多數企業的做法,是規畫專用的一組SSID,功能上僅能允許存取特定的網路資源,以避免重要的機密資料外洩。
首先,啟動Windows AD的群組原則編輯器,在「電腦設定>Windows設定>安全性設定」路徑下的「無線網路(IEEE 802.11)」項目,新增一組無線網路的設定檔,在此,我們可以指定整個網域,或者特定的組織單位所能存取的SSID。
在SSID的細部設定中,可以自行定義所要使用的加密協定類型,以及是否要採用802.1x的方式,來控管使用者存取無線網路的權限。
在802.1x的部分,需要注意的是所採用的驗證方式,在SP2版本的Windows Server 2003 AD伺服器,預設是透過Protected Extensible Authentication Protocol(PEAP),也就是單純以帳號、密碼來驗證使用者存取無線網路的權限,如果想要更進一步,整合Public Key Infrastructure(PKI)進行雙因子驗證,保證連線的使用者為本人,這時可選擇改用智慧卡及憑證的選項。
由於RADIUS在架構上,是由RADIUS伺服器、帳號資料庫,及憑證等3者所構成,其中前2者是必要元素,因此在PEAP的細部設定中,我們取消了憑證伺服器的選項,僅透過Windows AD使用者的帳號、密碼,確認其是否具備存取無線網路的權限。
最後一項需要設定的是802.1x的驗證方法,這裡需要確認已經勾選使用登入Windows的帳號、密碼進行802.1x驗證的選項,當個人端電腦登入網域的同時,也會將我們輸入的一組網域使用者帳號、密碼自動帶入802.1x的驗證流程,完成無線網路的加密連線。文⊙楊啟倫
開啟群組原則編輯器,在「無線網路(IEEE 802.11)」項目,新增一個無線網路的設定檔。
設定個人端電腦透過AD 更新設定的間隔時間,以及所要存取的無線網路類型。
可在此新增多個SSID 設定檔,指定個人端電腦在內部網路所能存取的基地臺。
輸入SSID名稱,及所要使用的加密方式,這裡我們採用WPA搭配TKIP的方式加密無線網路。
將802.1x 的EAP 設定變更為PEAP ,接著按下「設定」鍵,修改PEAP的細部設定。
取消伺服器憑證的選項,按下設定鍵,查看是否啟用以Windows登入名稱及密碼做為個人端電腦。
2009年8月13日 星期四
如何將user account使用者指派到黑莓機上
第一步於blackberry manager上設定如下圖set activation password
第二步於黑莓機上設定-->選項-->進階選項-->企業啟用-->input email address & 之前第一步所設定的密碼
第三步 點選啟動即OK
如何清掉blackberry手機資料
清手機資料:
- 建議由遠端(blackberry manager)處理,在black berry server上操作
- 找到該User
- click mouse right key
- select erase data and disable handheld (如此會將手機上的資料刪除,手機回到初始狀態)
- delete the user
- OK
直接由手機上操作:
- option
- security options
- general settings
- password disabled
- wipe handheld
- continue…
- 於server上delete the user
- OK
如何將一組Registry利用Group Policy(GPO)派送至Client端(遠端新增機碼)
- 參考 http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/3cbadcfc-b761-46cb-bc5e-0bb86cc0151a/
使用群組原則的 Logon Script 變更用戶端電腦的 Registry Key,可由下列步驟完成,亦可達成您的目標;祝您成功:
註:下列步驟的環境未安裝 GPMC,亦適用於安裝 GPMC 的環境,只是步驟會略有不同。
以具網域管理者權限的帳號登入任一部網域控制站(將test.reg複製到此伺服器的桌面)。 - 開啟Active Directory使用者及電腦。
- 以滑鼠右鍵點名為「ClientPC」的OU,選內容(這個 OU 是放置要變更 Registry Key 的電腦帳號)。
- 點選群組原則頁面。
- 按新物件按鈕,清單中將出現「新的群組原則物件」GPO,本例將它更名為Modify Registry Key。
- 點選Modify Registry Key,按編輯按鈕。
- 在電腦設定下展開Windows設定。
- 點選指令碼-(啟動/關機),在其右側視窗以滑鼠雙擊啟動。
- 在啟動內容視窗中,按顯示檔案按鈕。
- 將桌面上的test.reg拖曳到第9步驟執行後所開啟的視窗內之後,關閉此視窗。
- 回到啟動內容視窗,按新增按鈕。
- 在指令碼名稱欄位中鍵入regedit。
- 在指令碼參數欄位中鍵入 /s test.reg,按確定。
註:步驟12、13執行後,相當於執行「regedit /s test.reg」的命令。 - 回到啟動內容視窗,確認先前設定的項目存在於清單中,按確定。
註:若清單中已有其他指令碼檔案,請考量這些檔案的執行順序,並以向上/向下按鈕調整執行順序。 - 關閉群組原則編輯器視窗。
- 回到ClientPC內容視窗,按關閉。
- 關閉Active Directory使用者及電腦管理視窗。
- 點開始→執行,在開啟欄位中鍵入cmd。
- 在視窗中鍵入「gpupdate /force」,以強制更新群組原則設定。
- 執行完成後,關閉此視窗。
- 待此群組原則物件套用完成,並同步到所有網域控制站後,確認用戶端電腦下次登入後,Registry Key 會依 test.reg 的內容變更。
- 此時可刪除網域控制站桌面上的test.reg檔案。
如果到國外黑莓機收不到email,如何處理?
- 請確認手機網路狀態須為GPRS大寫,其表示TWM BlackBerry網路為正常狀況。
- 手機可能不小心設定成不收取信件或是設定過濾條件有誤造成。不收取信件設定檢查,請至Messages -> Options -> Email Setting -> Send email to handheld需更正為yes。
- 過濾條件設定檢查,請至Messages -> Options -> Email Filters -> If no filters apply, send email to handheld選項,若您未啟動任何過濾設定,請將此設定改為yes。
- 時區設定問題也常導致Push Email不正常,請確認時區設定。檢查方式:請於主畫面進入手機Options設定,Date/time之時區設定,若時間不是台北時區,請修改為Taipei(+8),並儲存後離開。
- 另您至法國時台灣大哥大應有發一封簡訊給您,上面應有提到需使用哪一個法國當到的網路業者,如果您目前不是,EMAIL也是不能通的;請確認一下。
- 如何手動選網
點選Options->Network
滾動滑輪至Network Selection,按下滑輪Change Option
選擇Manual,執行Scan for Available Networks
從清單中,選擇您欲使用的網路
待畫面出現Network Selection Succeeded即可
訂閱:
文章 (Atom)