Configurar equipos cliente
Para que la Herramienta de administración de activación por volumen (VAMT) funcione correctamente, debes realizar ciertos cambios en la configuración de todos los equipos cliente:
Debes establecer una excepción en el firewall del equipo cliente.
Debes crear una clave de registro y configurarla correctamente para los equipos de un grupo de trabajo; de lo contrario, Control de cuentas de usuario (UAC) de Windows® no permitirá que se realicen operaciones administrativas remotas.
Las organizaciones en las que VAMT se va a usar mucho podrían beneficiarse de realizar estos cambios dentro de la imagen maestra de Windows.
Importante
Este procedimiento solo se aplica a los clientes que ejecutan Windows Vista o versiones posteriores. Para los clientes que ejecutan Windows XP Service Pack 1, consulta Conectarse a través de Firewall de Windows.
Configurar el Firewall de Windows para permitir el acceso de VAMT
Habilitar VAMT para que acceda a los equipos cliente mediante el Panel de control de Firewall de Windows:
Abre el Panel de control y haz doble clic en Sistema y seguridad.
Haz clic en Firewall de Windows.
Haz clic en Permitir un programa o una característica a través de Firewall de Windows.
Haz clic en la opción Cambiar la configuración.
Selecciona la casilla de verificación Instrumental de administración de Windows (WMI).
Haz clic en Aceptar.
Advertencia
Las excepciones del Firewall de Windows solo son válidas de forma predeterminada para el tráfico que se origina en la subred local. Para ampliar la excepción de forma que se aplique a varias subredes, debes cambiar la configuración de excepciones del Firewall de Windows con seguridad avanzada, como se explica a continuación.
Configurar el Firewall de Windows para permitir el acceso de VAMT en varias subredes
Habilitar VAMT para que acceda a los equipos cliente a través de varias subredes con el Panel de control de Firewall de Windows con seguridad avanzada:
.gif "Configuración del firewall de VAMT para varias subredes")
Abre el Panel de control y haz doble clic en Herramientas administrativas.
Haz clic en Firewall de Windows con seguridad avanzada.
Realiza los cambios detallados en los pasos "a" a "c" en cada uno de los siguientes tres elementos de WMI, en el perfil de red correspondiente (dominio, público, privado):
Instrumental de administración de Windows (Entrada de asincronía)
Instrumental de administración de Windows (Entrada de DCOM)
Instrumental de administración de Windows (Entrada de WMI)
En el cuadro de diálogo Firewall de Windows con seguridad avanzada, selecciona Reglas de entrada en el panel izquierdo.
Haz clic con el botón derecho en la regla que quieras y selecciona Propiedades para abrir el cuadro de diálogo Propiedades.
En la ficha General, seleccione la casilla de verificación Permitir la conexión.
En la pestaña Ámbito, modifica la configuración de la dirección IP remota de "Subred local" (predeterminado) para permitir el acceso específico que necesitas.
En la pestaña Avanzado, comprueba la selección de todos los perfiles que son aplicables a la red (Dominio o Pública y privada).
En ciertos escenarios, solo se permite una cantidad limitada de puertos TCP/IP a través de un firewall de hardware. Los administradores se deben asegurar de que WMI (que se basa en RPC a través de TCP/IP) esté permitido a través de estos tipos de firewall. De forma predeterminada, el puerto de WMI es un puerto aleatorio asignado de manera dinámica por encima de 1024. En el siguiente artículo de Microsoft Knowledge Base se aborda el modo en que los administradores pueden limitar el intervalo de puertos asignados de manera dinámica. Esto resulta útil, por ejemplo, cuando el firewall de hardware solo permite el tráfico en un determinado intervalo de puertos.
Para obtener más información, consulta Cómo configurar la asignación dinámica de puertos RPC para trabajar con firewalls.
Crear un valor del Registro para que VAMT pueda acceder a equipos unidos a un grupo de trabajo
Precaución
Esta sección contiene información sobre cómo modificar el Registro. Haz una copia de seguridad del Registro antes de modificarlo. Asegúrate de que sabes cómo restaurar el Registro, por si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el Registro, consulta Información del Registro de Windows para usuarios avanzados.
En el equipo cliente, crea la siguiente clave del Registro mediante regedit.exe.
Ve a
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\systemEscribe lo siguiente:
Value Name: LocalAccountTokenFilterPolicy
Type: DWORD
Value Data: 1
Nota
Para detectar equipos con Windows que VAMT pueda administrar en los grupos de trabajo, debes habilitar la detección de redes en cada cliente.
Opciones de implementación
Existen varias opciones para que las organizaciones puedan configurar la excepción de firewall de WMI para los equipos:
Imagen. Agrega la configuración a la imagen de Windows maestra implementada en todos los clientes.
Directiva de grupo. Si los clientes son parte de un dominio, todos los clientes pueden configurarse mediante Directiva de grupo. La configuración de directiva de grupo para la excepción de firewall WMI se encuentra en GPMC. MSC en: Configuración del equipo\Configuración Windows\Configuración de Seguridad\Firewall de Windows con seguridad avanzada\Reglas avanzadas.
Script Ejecuta un script mediante Microsoft System Center Configuration Manager o una utilidad de ejecución de script remoto de terceros.
Manual. Configura la excepción de firewall WMI individualmente en cada cliente.
Las opciones de configuración anteriores abrirán un puerto más a través del Firewall de Windows en los equipos de destino; deben realizarse en equipos que no estén protegidos por un firewall de red. Para que VAMT pueda consultar el estado de licencias actualizado, la excepción de WMI debe conservarse. Recomendamos que los administradores consulten las directivas de seguridad de red y tomen decisiones claras al crear la excepción de WMI.