Configurar equipos cliente
Para que la Herramienta de administración de activación por volumen (VAMT) funcione correctamente, debes realizar ciertos cambios en la configuración de todos los equipos cliente:
Debes establecer una excepción en el firewall del equipo cliente.
Debes crear una clave del Registro y configurarla correctamente para los equipos de un grupo de trabajo; de lo contrario, Control de cuentas de usuario (UAC) de Windows no permitirá que se realicen operaciones administrativas remotas.
Las organizaciones en las que VAMT se va a usar mucho podrían beneficiarse al realizar estos cambios dentro de la imagen maestra de Windows.
Importante
Este procedimiento solo es válido en clientes que ejecutan Windows Vista® o posterior. Para clientes que ejecutan Windows XP Service Pack 1, consulta el tema sobre cómo conectarse a través del Firewall de Windows.
Configurar el Firewall de Windows para permitir el acceso de VAMT
El acceso de VAMT a los equipos cliente se habilita a través del Panel de control del Firewall de Windows:
Abre el Panel de control y haz doble clic en Sistema y seguridad.
Haz clic en Firewall de Windows.
Haz clic en Permitir un programa o una característica a través de Firewall de Windows.
Haz clic en la opción Cambiar la configuración.
Activa la casilla Instrumental de administración de Windows (WMI).
Haz clic en Aceptar.
Advertencia
Las excepciones del Firewall de Windows solo son válidas de forma predeterminada para el tráfico que se origina en la subred local. Para ampliar la excepción de forma que se aplique a varias subredes, debes cambiar la configuración de excepciones del Firewall de Windows con seguridad avanzada, como se explica a continuación.
Configurar el Firewall de Windows para permitir el acceso de VAMT en varias subredes
El acceso de VAMT a los equipos cliente de varias subredes se habilita a través del Panel de control del Firewall de Windows con seguridad avanzada:
Abre el Panel de control y haz doble clic en Herramientas administrativas.
Haz clic en Firewall de Windows con seguridad avanzada.
Realiza los cambios detallados en los pasos "a" a "c" en cada uno de los siguientes tres elementos de WMI, en el perfil de red correspondiente (dominio, público, privado):
Instrumental de administración de Windows (ASync de entrada)
Instrumental de administración de Windows (DCOM de entrada)
Instrumental de administración de Windows (WMI de entrada)
En la casilla Firewall de Windows con seguridad avanzada, selecciona Reglas de entrada del panel izquierdo.
Haz clic con el botón secundario en la regla que quieras y selecciona Propiedades para abrir el cuadro de diálogo Propiedades.
En la pestaña General, activa la casilla Permitir la conexión.
En la pestaña Ámbito, cambia la configuración Dirección IP remota de "Subred local" (predeterminada) para permitir el acceso específico que necesitas.
En la pestaña Opciones avanzadas, confirma que están seleccionados todos los perfiles que corresponden a la red (dominio, privado, público).
En ciertos escenarios, solo se permite una cantidad limitada de puertos TCP/IP a través de un firewall de hardware. Los administradores se deben asegurar de que WMI (que se basa en RPC a través de TCP/IP) esté permitido a través de estos tipos de firewall. De forma predeterminada, el puerto de WMI es un puerto aleatorio asignado de manera dinámica por encima de 1024. En el siguiente artículo de Microsoft se aborda el modo en que los administradores pueden limitar el intervalo de puertos asignados de manera dinámica. Esto resulta útil, por ejemplo, cuando el firewall de hardware solo permite el tráfico en un determinado intervalo de puertos.
Para obtener más información sobre cómo configurar la asignación dinámica de puertos RPC para que funcione con los firewall, consulta el tema sobre cómo configurar la asignación dinámica de puertos RPC para que funcionen con los firewall
Crear un valor del Registro para que VAMT pueda acceder a equipos unidos a un grupo de trabajo
Advertencia
Esta sección contiene información sobre cómo modificar el Registro. Haz una copia de seguridad del Registro antes de modificarlo. Asegúrate de que sabes cómo restaurar el Registro, por si ocurre algún problema. Para obtener más información sobre cómo restaurar o modificar el Registro, o hacer una copia de seguridad, consulta el artículo de Microsoft Knowledge Base Información del Registro de Windows para usuarios avanzados.
En el equipo cliente, crea la siguiente clave del Registro mediante regedit.exe.
Navega a
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
Escribe lo siguiente:
Nombre del valor: LocalAccountTokenFilterPolicy
Tipo: DWORD
Dato del valor: 1
Nota
Para detectar equipos con Windows que VAMT pueda administrar en los grupos de trabajo, debes habilitar la detección de redes en cada cliente.
Opciones de implementación
Existen varias opciones para que las organizaciones puedan configurar la excepción de firewall de WMI para los equipos:
Imagen. Agrega la configuración a la imagen maestra de Windows que se implementa en todos los clientes.
Directiva de grupo. Si los clientes pertenecen a un dominio, puedes configurarlos todos a través de la directiva de grupo. La configuración de directiva de grupo para la excepción de firewall de WMI se encuentra en GPMC.MSC en: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Reglas de entrada.
Script. Ejecuta un script mediante Microsoft System Center Configuration Manager o una herramienta de ejecución de scripts remota de otro fabricante.
Manual. Configura la excepción de firewall de WMI de manera individual en cada cliente.
Las opciones de configuración anteriores abrirán un puerto más a través del Firewall de Windows en los equipos de destino; deben realizarse en equipos que no estén protegidos por un firewall de red. Para que VAMT pueda consultar el estado de licencias actualizado, la excepción de WMI debe conservarse. Recomendamos que los administradores consulten las directivas de seguridad de red y tomen decisiones claras al crear la excepción de WMI.