文档介绍:WindowsXP/7: 限制特有的无线网络连接
标签: permissions
2012-02-01 06:25 2740人阅读 评论(0) 收藏 举报
 分类:
 
Windows系统部署(33)  技术(346) 
版权声明:本文为博主原创文章,未经博主允许不得转载。
WindowsXP/7: 限制特有的无线网络连接
场景是这样的:在我们的学校环境中,提供三种不同的无线网络服务,一个是我们内部所有电脑服务器打印机等等设备所使用的相对安全的内部网络,登陆认证使用AD;第二个是为学生准备的服务,的服务,但是不能连接学校内部网络,适用于有有学校账户的人群使用个人网络设备,用户连接后,需要进入浏览器,浏览器提示用户认证,用户输入普通的在学校的账户确认之后,就可以使用了;第三个与第二个类似,不同的是它适合于学校以外的访问者使用,学校可以临时产生一个账户供客人使用,这个特殊账户有使用时限,同样不能访问内部网络,服务。不仅如此,在学校里,还可以连接到外部其他无线信号。
面对复杂的网络环境,很多时候会造成麻烦,最主要的是,学校的无线设备,比如笔记本电脑,可能由于连接到其他无线网络上,而无法让用户登陆,因为无法连接到AD,或者是无法访问学校网络资源,比如打印机等。而由于学生的好奇心或者是恶作剧,他们可能会有意无意地通过状态栏上的无线网络图标,手动连接到其他网络,下一个用户登陆时,当然就登陆不上去,或者是即便可以登陆,但是无法访问学校的内部服务,这样造成网络支持的麻烦,而且学生们会乐此不疲。
应对的方法就是,不让普通用户变更网络。
首先使用组策略禁止打开Control Panel,mand Prompt等基本配置这是第一步,然后把学校的无线网络添加到预设网络列表(work)中并且放在第一位,设置即便没有广播SSID都可以连接等等配置,而组策略不能阻止用户添加一个无线网络连接到预设网络列表(work)中。所以要进行下面的操作。
注意,不是所有的移动无线设备都应该被限制,比如有员工可以被准许拿笔记本电脑离开校园使用(off-site),这样的设备,用户需要被培训,如何使用和配置无线网络,那么在出现上述问题的时候他们可以自我解决。
 
针对Windows 7:
我们可以只准许用户看到特定的无线网络,而不是所有的,这样即便普通用户想改变,也是无计可施,这个特性,只有在WindowsVista之后才提供。比如说,学校内部无线网络的SSID是SchoolOwned Devices,那么下面的命令可以只显示该网络。
[plain] view plain copy
netsh wlanadd filter permission=worktype=adhoc  
  
netsh wlanadd filter permission=worktype=infrastructure  
  
netsh wlanset works display=hide  
  
netsh wlanadd fil