Administratörsverktyg

Administratörspaket för Windows XP*

OBS! Om du skapar och exporterar paket för datorer med Microsoft Windows Vista* måste paketen skapas på ett Windows Vista-system. Det går alltså inte att skapa Windows Vista-paket på datorer med Microsoft Windows XP.*

Administratörsprofiler

Dessa profiler är gemensamma för eller delas av alla användare av den här datorn. Men slutanvändare kan inte modifiera dessa profiler. De kan endast modifieras från Administratörsverktyget som är lösenordsskyddat.

Det finns två typer av administratörsprofiler: Beständig och Före inloggning/gemensam.

Beständiga profiler

Beständiga profiler tillämpas när datorn startas eller när ingen är inloggad på datorn. Sedan en användare loggat ut behåller en beständig profil en trådlös anslutning antingen tills datorn stängs av eller en annan användare loggar in.

Huvudpunkterna för beständiga profiler:

• Det går att skapa följande profiltyper som beständiga profiler:
  • Alla profiler som inte kräver 802.1X-autentisering (t.ex. Öppet autentisering med WEP-kryptering, Öppet autentisering utan kryptering).
  • Alla profiler med 802.1X-autentisering som har sparade referenser: LEAP eller EAP-FAST.
  • Profiler med säkerhetsinställningar som innefattar alternativet Använd följande användarnamn och lösenord.
  • Profiler som använder maskincertifikatet för att autentisera.
  • WPA*-Företag-profiler som inte använder ett användarcertifikat.
  • WPA-Personligt-profiler.
• Beständiga profiler tillämpas vid systemstart och efter en användarutloggning.

OBS! WiFi-anslutningsprogrammet stöder maskincertifikat. Men de visas inte i certifikatlistorna.

Skapa en beständig profil så här:

1. Klicka på Inkludera profiler i det här paketet.
2. Klicka på Beständig.
3. Öppna Allmänna inställningar genom att klicka på Lägg till.
4. Profilnamn: Ange ett beskrivande profilnamn.
5. Namn på trådlöst nätverk (SSID): Ange namnet på ditt trådlösa nätverk.
6. Driftsläge: Nätverk (Infrastruktur) markeras som standard.
7. Profiltyp för administratör: Beständig: Aktiv när ingen användare är inloggad är markerat.
8. Klicka på Nästa.
9. Klicka på Företagssäkerhet för att öppna Säkerhetsinställningar. Se TLS, TTLS, PEAP, LEAP eller EAP-FAST för information om konfiguration av 802.1X-säkerhet.
10. Klicka på OK.

Före inloggning/gemensam

Profiler för före inloggning och gemensamma profiler tillämpas före användarinloggning. Om stöd för enkel inloggning är installerat, görs anslutningen före Windows-inloggningssekvensen (Före inloggning/gemensam).

Om stöd för enkel inloggning inte är installerat, tillämpas profilen när användarsessionen aktiverats. Profiler för före inloggning och gemensamma profiler visas alltid högst upp i profillistan. Användare kan fortfarande prioritera profiler som de skapat, men de kan inte återprioritera profiler för Före inloggning/gemensam. Eftersom dessa profiler visas högst upp i profillistan försöker WiFi-anslutningsprogrammet automatiskt att ansluta till Administratörsprofilerna först, före eventuella användarskapade profiler.

OBS! Det är bara administratörer som kan skapa eller exportera profiler av typ Före inloggning/gemensam.

Huvudpunkterna för anslutning före inloggning är:

• Anslutning före inloggning är endast aktivt vid Windows-inloggning.
• Det går att skapa följande profiltyper som anslutningsprofiler för Före inloggning/gemensam:
  • 802.1X-profiler av typ PEAP, TTLS eller EAP-FAST som antingen använder referenserna för Använd användarnamn och lösenord för Windows-inloggning eller Använd följande användarnamn och lösenord när de konfigurerar profilens säkerhetsinställningar.
  • LEAP-profiler som använder referenserna under Fråga efter användarnamn och lösenord när de konfigurerar profilens säkerhetsinställningar.
  • 802.1X PEAP- eller TTLS-profiler med användar- eller maskincertifikat (användaren måste ha administrativa rättigheter att använda maskincertifikat).
  • TLS-profiler som använder digitala certifikat för att verifiera identiteten för klient och server.
  • EAP-SIM-profiler som använder ett SIM-kort (Subscriber Identity Module) för att validera dina referenser med nätverket.
  • Alla icke-802.1X (Öppet och WEP) gemensamma och användarbaserade profiler.
• En profil Före inloggning/gemensam tillämpas när Windows-användaren loggar in.

Anslutningsstatus för Före inloggning/gemensam

Stöd för profiler av typ Före inloggning/gemensam installeras under Anpassad installation av WiFi-anslutningsprogrammet. Se Installera eller avinstallera funktionen Enkel inloggning för mer information.

OBS! Om funktionerna Enkel inloggning eller Anslut före inloggning inte är installerade, kan en administratör ändå skapa förinloggningsprofiler/gemensamma profiler för export till användardator.

Här nedan beskrivs hur funktionen Anslutning före inloggning fungerar efter systemstart. Det antas att det finns en sparad profil. Denna sparade profil har giltiga säkerhetsinställningar markerade med Använd användarnamn och lösenord för Windows-inloggning som tillämpas när användaren loggar in till Windows.

1. Efter systemstart anger du din domän, ditt användarnamn och lösenord för Windows-inloggningen.
2. Klicka på OK. Statussidan för profilen Före inloggning/gemensam visar nätverksanslutningens förlopp. När det trådlösa kortet anslutits till nätverkets åtkomstpunkt stängs statussidan och Windows-användaren loggar in.
   • Om den motsvarande åtkomstpunkten förkastar dina referenser under Före inloggning/gemensam, instrueras du att ange dina användarreferenser.
   • Ange dina referenser.
   • Klicka på OK. Profilen tillämpas och sidan Status visar anslutningsförloppets status tills du är inloggad till Windows.
   • Klicka på Avbryt på sidan Referenser för att välja en annan profil.

OBS! En användare kan endast nå ett användarcertifikat som har autentiserats på datorn. Därför skall en användare logga in till datorn en gång (genom att använda antingen en kabelanslutning, en annan profil eller lokal inloggning) innan han/hon använder en profil av typ Före inloggning/gemensam som autentiserar med ett användarcertifikat.

När du loggar ut frånkopplas eventuell trådlös anslutning och en beständig profil (om det finns en sådan) tillämpas. Under vissa omständigheter är det önskvärt att bibehålla den nuvarande anslutningen (t.ex. om användarspecifika data måste skickas till servern efter utloggning eller när roaming-profiler används).

Skapa en profil som är markerad som både Före inloggning/gemensam och beständig för att uppnå den här funktionen. Om en sådan profil är aktiv när användaren loggar ut bibehålls anslutningen.

Skapa en profil av typ Före inloggning/gemensam så här:

1. Klicka på Inkludera profiler i det här paketet.
2. Klicka på Före inloggning/gemensam.
3. Öppna Allmänna inställningar genom att klicka på Lägg till.
4. Profilnamn: Ange ett beskrivande profilnamn.
5. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
6. Driftsläge: Nätverk (Infrastruktur) markeras som standard.
7. Profiltyp för administratör: Före inloggning/gemensam: Aktiv när en användare är inloggad. Den här profilen delas av alla användare. Den här profiltypen är redan markerad.
8. Klicka på Nästa.
9. Klicka på Avancerat för att öppna och konfigurera Avancerade inställningar. Se Avancerade inställningar.
10. Stäng Avancerade inställningar genom att klicka på OK. 
11. Klicka på Företagssäkerhet för att öppna Säkerhetsinställningar. Se EAP-SIM, TLS, TTLS, PEAP, LEAP eller EAP-FAST för information om konfigurering av säkerhet för 802.1X.
12. Klicka på OK för att spara profilen och lägga till den i listan med administratörsprofiler.

OBS! Om en beständig anslutning redan etablerats, ignoreras en profil för Före inloggning/gemensam såvida inte profilen konfigurerats med alternativ för både Före inloggning/gemensam och Beständig anslutning.

Uteslut nätverk

Administratörer kan utse nätverk som ska uteslutas från anslutning. När ett nätverk utesluts kan bara en administratör ta bort nätverket från Undantagslistan. Det uteslutna nätverket visas i Hantering av undantagslista och visas med denna ikon:

Utesluta ett nätverk:

1. Klicka på Inkludera profiler i det här paketet.
2. Klicka på Uteslut.
3. Öppna Uteslut nätverk (SSID) genom att klicka på Lägg till.
4. Nätverksnamn: Ange namnet på det nätverk som du vill utesluta.
5. Klicka på OK för att lägga till nätverksnamnet i listan.

Ta bort ett nätverk från undantag:

1. Markera nätverksnamnet i Undantagslistan.
2. Klicka på Ta bort. Nätverket tas bort ur listan.

VoIP-anslutning (Voice over IP)

WiFi-anslutningsprogrammet stöder VoIP för "soft-phone"-program från tredje part. VoIP-applikationer från tredjepart stödjer röstcodec. Codec tillhandahåller i allmänhet en komprimeringsfunktion för att spara bandbredd i nätverket. WiFi-anslutningsprogrammet stöder följande ITU-codecstandardarder (International Telecommunications Union):

EAP-FAST A-ID-grupper

OBS! Denna funktion är inte tillgänglig om CCXv4 inte är markerat i Programinställningar i administratörsverktyget

En A-ID (Authority Identifier) är den RADIUS-server som förser PAC (Protected Access Credential) med A-ID-grupper. A-ID-grupper delas av alla användare för datorn och tillåter att EAP-FAST-profiler stöder flera PAC från flera A-ID.

A-ID-grupper kan konfigureras i förväg av administratören och ställas in genom ett Administratörspaket på en användares dator. När en trådlös nätverksprofil påträffar en server med A-ID inom samma grupp för den A-ID som angetts i den trådlösa nätverksprofilen, använder den detta PAC utan att tala om det för användaren.

Lägga till en A-ID-grupp:

1. Markera Inkludera A-ID-grupper.
2. Klicka på Lägg till.
3. Ange ett nytt A-ID-gruppnamn.
4. Klicka på OK. A-ID-gruppen läggs till i listan med A-ID-grupper.

Om A-ID-gruppen är låst går det inte att lägga till ytterligare A-ID i gruppen.

Lägga till en A-ID i en A-ID-grupp:

1. Markera en grupp i listan A-ID-grupper.
2. Klicka på Lägg till i avsnittet A-ID.
3. Markera en A-ID.
4. Klicka på OK. A-ID läggs till i listan.

När en A-ID-grupp har valts, extraheras A-ID:er från PAC-enheter på A-ID-gruppservern. Listan med A-ID:er fylls i automatiskt.

Administratörsuppgifter

Inskaffa klientcertifikat

Om du inte har några certifikat för EAP-TLS (TLS) eller EAP-TTLS (TTLS) måste du hämta ett klientcertifikat för att möjliggöra autentisering.

Certifikat hanteras från antingen Internet Explorer eller Kontrollpanelen i Microsoft Windows.

Windows XP: När du erhåller ett klientcertifikat ska du inte aktivera starkt skydd av den privata nyckeln. Om du aktiverar starkt skydd av den privata nyckeln för ett certifikat måste du ange ett åtkomstlösenord för certifikatet varje gång detta certifikat används. Du måste inaktivera starkt skydd av den privata nyckeln för certifikatet om du konfigurerar tjänsten för TLS- eller TTLS-autentisering. Annars misslyckas 802.1X-tjänsten med autentiseringen eftersom det inte finns någon inloggad användare som kan tillhandahålla det lösenord som krävs.

Anteckningar om Smartkort

När du har installerat ett smartkort installeras certifikatet automatiskt på datorn och väljs i arkivet med personliga certifikat och i rotcertifikatarkivet.

Ställa in klient med TLS-nätverksautentisering

Steg 1: Inskaffa ett certifikat

Innan du kan tillåta TLS-autentisering behöver du ett giltigt klientcertifikat i det lokala arkivet för den inloggade användarens konto. Du behöver också ett tillförlitligt CA-certifikat i rotarkivet.

Följande information ger dig två sätt att erhålla ett certifikat:

• Från en företagscertifikatutfärdare som implementerats på en Windows 2000-server.
• Importera ett certifikat från en fil med Guiden Importera certifikat i Internet Explorer.

Om du inte vet hur du kan få ett användarcertifikat från certifikatutfärdaren ska du tala med din administratör.

Installera certifikatutfärdaren på den lokala maskinen:

1. Erhåll certifikatutfärdaren och lagra den på din lokala enhet.
2. Klicka på Importera. Guiden Importera certifikat öppnas.
3. Klicka på Nästa.
4. Klicka på Bläddra för att hitta certifikatet på din lokala enhet.
5. Klicka på det exporterade certifikatet.
6. Klicka på Öppna.
7. Klicka på Nästa.
8. Klicka på Placera alla certifikat i nedanstående arkiv.
9. Klicka på Bläddra för att öppna Välj certifikatarkiv.
10. Klicka på Visa fysiska arkiv.
11. Klicka på OK.
12. I listan med arkiv rullar du uppåt och expanderar Betrodda rotcertifikatutfärdare.
13. Klicka på Lokal dator.
14. Klicka på OK.
15. Klicka på Nästa.
16. Slutför processen genom att klicka på Slutför.
17. Starta om när ett certifikat har installerats.

Använd Microsoft Management Console (MMC) för att bekräfta att certifikatutfärdaren är installerad i maskinarkivet.

1. På Start-menyn klickar du på Kör.
2. Ange MMC.
3. Klicka på OK för att öppna Microsoft Management Console.
4. Klicka på Arkiv.
5. Klicka på Lägg till/ta bort snapin-modul.
6. Klicka på Lägg till för att öppna sidan Lägg till en fristående snapin-modul.
7. Klicka på Certifikat.
8. Klicka på Lägg till.
9. Klicka på Datorkonto.
10. Klicka på Nästa.
11. Klicka på Slutför.
12. Klicka på Stäng.
13. Klicka på OK.
14. I konsolen klickar du på Certifikat (lokal dator).
15. Klicka på Betrodda rotcertifikatutfärdare.
16. Klicka på Certifikat.
17. Verifiera att den certifikatutfärdare du nyss installerat finns med på listan.
18. Klicka på Arkiv.
19. Klicka på Avsluta för att stänga konsolen.

Hämta ett certifikat från en Microsoft Windows 2000*-certifikatutfärdare:

1. Starta Internet Explorer och gå till Certificate Authority HTTP Service (använd en webbadress så som http://dindomänserver.dindomän/certsrv där certsrv är kommandot som tar dig till certifikatutfärdaren). Du kan också använda servermaskinens IP-adress. Exempel: 192.0.2.12/certsrv.
2. Logga in till certifikatutfärdaren med namnet och lösenordet för det användarkonto som du skapat på autentiseringsservern. Namnet och lösenordet behöver inte vara desamma som Windows inloggningsnamn och lösenord för den aktuella användaren.
3. På välkomstsidan i certifikatutfärdaren markerar du alternativet att begära en certifikatuppgift och skicka formuläret (Request a certificate task and submit the form).
4. Välj typ av begäran: Markera Advanced request (Avancerad begäran).
5. Klicka på Nästa.
6. Advanced Certificate Requests (Avancerade certifikatbegäran): Markera Submit a certificate request to this CA using a form (Skicka certifikatbegäran till denna certifikatutfärade med formulär).
7. Klicka på Skicka.
8. Advanced Certificate Request (Avancerad certifikatbegäran): Markera User certificate template (Mall för användarcertifikat).
9. Klicka på Markera att nycklarna kan exporteras.
10. Klicka på Nästa. Använd standardvärdena som anges.
11. Certifikatet utfärdat: Klicka på Installera det här certifikatet.

OBS! Om detta är det första certifikatet som du har fått frågar certifikatutfärdaren dig först om den ska installera ett betrott certifikatutfärdarcertifikat i rotarkivet. Detta är inte ett betrott certifikatutfärdarcertifikat. Namnet på certifikatet är namnet på certifikatutfärdens värd. Klicka på Ja. Du behöver detta certifikat för både TLS och TTLS.

12. Om certifikatet installerades utan problem visas meddelandet: "Det nya certifikatet har installerats".
13. Verifiera installationen genom att klicka på Internet Explorer > Verktyg > Internet-alternativ > Innehåll > Certifikat. Det nya certifikatet bör installeras i den personliga mappen.

Importera certifikat från fil

1. Öppna Internet-egenskaper (högerklicka på Internet Explorer-ikonen på skrivbordet).
2. Välj Egenskaper.
3. Innehåll: Klicka på Certifikat. Listan med installerade certifikat visas.
4. Klicka på Importera för att öppna Guiden Importera certifikat.
5. Markera filen:
6. Ange åtkomstlösenord för filen. Avmarkera alternativet Aktivera starkt skydd av den privata nyckeln.
7. Certifikatarkiv: Klicka på Välj certifikatarkiv automatiskt utifrån certifikattyp (certifikatet måste finnas i det personliga arkivet med användarkonton för att finnas tillgängligt).
8. Fortsätt till Slutföra guiden Importera certifikat och klicka på Slutför.

Konfigurera en profil som har WPA-autentisering med WEP- eller TKIP-kryptering som använder TLS-autentisering så här:

OBS! Inskaffa och installera ett klientcertifikat, se steg 1 eller tala med administratören.

Ange det certifikat som används av WiFi-anslutningsprogrammet.

1. Öppna Allmänna inställningar på sidan Profil genom att klicka på Lägg till.
2. Profilnamn: Ange ett profilnamn.
3. Namn på trådlöst nätverk (SSID): Ange nätverksidentifieraren.
4. Driftsläge: Nätverk (Infrastruktur) markeras som standard.
5. Klicka på Nästa för att öppna Säkerhetsinställningar.
6. Klicka på Företagssäkerhet.
7. Nätverksautentisering: Markera Öppet (rekommenderas).
8. Datakryptering: Markera WEP.
9. 802.1X-aktiverad: Markerad.
10. Autentiseringstyp: Markera TLS.

Steg 1 av 2: TLS-användare

1. Inskaffa och installera ett klientcertifikat.
2. Markera ett av följande för att erhålla ett certifikat:

Namn	Beskrivning
Statiskt lösenord	Skriv användarreferenserna vid anslutning.
Engångslösenord (OTP)	Inskaffa lösenordet från en maskinvarutokenenhet.
PIN-kod (Soft Token)	Inskaffa lösenordet från ett soft token-program.

3. Klicka på Nästa.

Steg 2 av 2: TLS-server

1. Markera en av följande referenshämtningsmetoder: Validera servercertifikat eller Ange server- eller certifikatnamn.
2. Klicka på OK. Profilen läggs till i profillistan.
3. Klicka på den nya profilen längst ner i profillistan. Använd pil upp och pil ner för att ändra prioritet för den nya profilen.
4. Klicka på Anslut för att ansluta till det markerade trådlösa nätverket.
5. Klicka på OK för att stänga programmet.

Tillbaka till början

Tillbaka till Innehåll