Freigeben über


Konfigurieren der Clientcomputer

Damit das Tool für die Volumenaktivierungsverwaltung (Volume Activation Management Tool, VAMT) richtig funktioniert, sind bestimmte Konfigurationsänderungen auf allen Clientcomputern erforderlich:

  • In der Firewall des Clientcomputers muss eine Ausnahme festgelegt werden.

  • Für Computer in einer Arbeitsgruppe muss ein Registrierungsschlüssel erstellt und ordnungsgemäß eingerichtet werden. Andernfalls lässt die Windows®-Benutzerkontensteuerung keine Aktionen mit Administratorrechten zu.

Organisationen, die hauptsächlich das VAMT nutzen, können von diesen Änderungen im Masterimage für Windows profitieren.

Wichtig

Diese Vorgehensweise trifft nur auf Clients zu, die Windows Vista® oder höher ausführen. Informationen zu Clients, die Windows XP Service Pack 1 ausführen, finden Sie unter Herstellen einer Verbindung durch die Windows-Firewall.

Konfigurieren der Windows-Firewall, um VAMT-Zugriff zuzulassen

Ermöglichen Sie dem VAMT den Zugriff auf Clientcomputer mit der Systemsteuerung der Windows-Firewall:

  1. Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf System und Sicherheit.

  2. Klicken Sie auf Windows-Firewall.

  3. Klicken Sie auf Ein Programm oder Feature durch die Windows-Firewall zulassen.

  4. Klicken Sie auf die Option Einstellungen ändern.

  5. Aktivieren Sie das Kontrollkästchen Windows-Verwaltungsinstrumentation (WMI).

  6. Klicken Sie auf OK.

Warnung

Standardmäßig gelten die Windows Firewall-Ausnahmen nur für Datenverkehr, der seinen Ursprung im lokalen Subnetz hat. Um die Ausnahme so zu erweitern, dass sie für mehrere Subnetze gilt, müssen Sie wie nachfolgend beschrieben in der Windows-Firewall mit erweiterter Sicherheit die Einstellungen für die Ausnahme ändern.

Konfigurieren der Windows-Firewall, um VAMT-Zugriff auf mehreren Subnetzen zuzulassen

Lassen Sie zu, dass das VAMT mit der Systemsteuerung der Windows-Firewall mit erweiterter Sicherheit auf Clientcomputer in mehreren Subnetzen zugreifen kann:

VAMT: Firewallkonfiguration für mehrere Subnetze

  1. Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Verwaltung.

  2. Klicken Sie auf Windows-Firewall mit erweiterter Sicherheit.

  3. Nehmen Sie für jedes der folgenden drei WMI-Elemente für das entsprechende Netzwerkprofil (Domäne, öffentlich, privat) die in den Schritten a bis c aufgeführten Änderungen vor:

    • Windows-Verwaltungsinstrumentation (asynchron eingehend)

    • Windows-Verwaltungsinstrumentation (DCOM eingehend)

    • Windows-Verwaltungsinstrumentation (WMI eingehend)

    1. Wählen Sie im Dialogfeld Windows-Firewall mit erweiterter Sicherheit im linken Bereich die Option Eingehende Regeln aus.

    2. Klicken Sie mit der rechten Maustaste auf die gewünschte Regel, und wählen Sie Eigenschaften aus, um das Dialogfeld Eigenschaften zu öffnen.

    3. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Verbindung zulassen.

    4. Ändern Sie auf der Registerkarte Bereich die Einstellung für die Remote-IP-Adresse "Lokales Subnetz" (Standard), um den benötigten spezifischen Zugang zu erlauben.

    5. Vergewissern Sie sich, dass auf der Registerkarte Erweitert alle Profile ausgewählt sind, die für das Netzwerk zutreffen (Domäne oder privat/öffentlich).

In bestimmten Szenarien ist nur eine bestimmte Gruppe TCP/IP-Ports durch eine Hardwarefirewall zulässig. Administratoren müssen sicherstellen, dass WMI (das auf RPC über TCP/IP basiert) durch diese Firewalltypen zulässig ist. Standardmäßig ist der WMI-Port ein dynamisch zugewiesener beliebiger Port über 1024. Der folgende Microsoft-Knowledge Base-Artikel erläutert, wie Administratoren den Bereich der dynamisch zugewiesenen Ports einschränken können. Dies ist beispielsweise hilfreich, wenn die Hardwarefirewall nur Datenverkehr in einem bestimmten Portbereich zulässt.

Weitere Informationen zum Konfigurieren der dynamischen RPC-Portzuweisung für den Firewall-Einsatz finden Sie unter Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz

Erstellen eines Registrierungswerts für das VAMT zum Zugriff auf per Arbeitsgruppe verbundene Computer

Warnung

Dieser Abschnitt enthält Informationen zum Bearbeiten der Registrierung. Sichern Sie die Registrierung vor dem Ändern. Zudem muss sicher sein, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen über das Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im Microsoft Knowledge Base-Artikel: Beschreibung der Microsoft Windows-Registrierung.

Erstellen Sie auf dem Clientcomputer mit regedit.exe folgenden Registrierungsschlüssel.

  1. Navigieren Sie zu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system.

  2. Geben Sie die folgenden Details ein:

    Wertname: LocalAccountTokenFilterPolicy

    Typ: DWORD

    Wert: 1

Hinweis

Um mit VAMT zu verwaltende Windows-Computer in Arbeitsgruppen zu erkennen, muss die Netzwerkerkennung auf jedem Client aktiviert sein.

Bereitstellungsoptionen

Es gibt mehrere Optionen für Organisationen zum Konfigurieren der WMI-Firewallausnahme für Computer:

  • Image. Fügen Sie die Konfigurationen dem auf allen Clients bereitgestellten Windows-Masterimage hinzu.

  • Gruppenrichtlinie. Falls die Clients Teil einer Domäne sind, können alle Clients mit der Gruppenrichtlinie konfiguriert werden. Die Gruppenrichtlinieneinstellung für die WMI-Firewallausnahme finden Sie in "GPMC.MSC" unter: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Eingehende Regeln.

  • Skript. Führen Sie mit Microsoft System Center Configuration Manager oder einer Drittanbieteranwendung zum Ausführen von Skripten ein Skript aus.

  • Manuell. Konfigurieren Sie die WMI-Firewallausnahme einzeln auf jedem Client.

Mit der oben erwähnten Konfiguration wird auf den Zielcomputern ein zusätzlicher Port durch die Windows-Firewall geöffnet, der auf den Computern ausgeführt wird, die durch eine Netzwerkfirewall geschützt sind. Um dem VAMT das Abfragen des aktuellen Lizenzierungsstatus zu ermöglichen, muss die WMI-Ausnahme verwaltet werden. Wir empfehlen, dass Administratoren ihre Netzwerksicherheitsrichtlinien zurate ziehen und beim Erstellen der WMI-Ausnahme eindeutige Entscheidungen treffen.

Siehe auch

Weitere Ressourcen

Installieren und Konfigurieren des VAMT