クライアント コンピューターを構成する

  • [アーティクル]

ボリューム ライセンス認証管理ツール (VAMT) を正しく機能させるには、すべてのクライアント コンピューターで特定の構成変更が必要です。

  • クライアント コンピューターのファイアウォールで例外を設定する必要があります。

  • ワークグループ内のコンピューターの場合は、レジストリ キーを作成して適切に設定する必要があります。それ以外の場合、Windows® ユーザー アカウント制御 (UAC) はリモート管理操作を許可しません。

VAMT が広く使用される組織は、Windows のマスター イメージ内でこれらの変更を行うとメリットがあります。

重要

この手順は、Windows Vista 以降を実行しているクライアントにのみ適用されます。 Windows XP Service Pack 1 を実行しているクライアントについては、「 Windows ファイアウォールを介した接続」を参照してください。

VAMT アクセスを許可するように Windows ファイアウォールを構成する

VAMT が Windows ファイアウォール コントロール パネルを使用してクライアント コンピューターにアクセスできるようにします。

  1. コントロール パネルを開き、[システムとセキュリティ] をダブルクリックします。

  2. [ Windows ファイアウォール] を選択します。

  3. [ Windows ファイアウォールを使用してプログラムまたは機能を許可する] を選択します

  4. [ 設定の変更 ] オプションを選択します。

  5. [ Windows Management Instrumentation (WMI)] チェック ボックスをオンにします。

  6. [OK] を選択します。

Warning

既定では、Windows ファイアウォールの例外は、ローカル サブネット上のトラフィックにのみ適用されます。 例外を展開して複数のサブネットに適用するには、次に説明するように、セキュリティが強化された Windows ファイアウォールの例外設定を変更する必要があります。

複数のサブネット間で VAMT アクセスを許可するように Windows ファイアウォールを構成する

セキュリティが強化された Windows ファイアウォール コントロール パネルを使用して、VAMT が複数のサブネットにまたがるクライアント コンピューターにアクセスできるようにします。

複数のサブネットの VAMT ファイアウォール構成。

  1. コントロール パネルを開き、[管理ツール] をダブルクリックします。

  2. [ セキュリティが強化された Windows ファイアウォール] を選択します。

  3. 該当するネットワーク プロファイル (ドメイン、パブリック、プライベート) に対して、次の 3 つの WMI 項目ごとに変更を加えます。

    • Windows 管理インストルメンテーション (ASync-In)

    • Windows 管理インストルメンテーション (DCOM-In)

    • Windows 管理インストルメンテーション (WMI-In)

  4. [ セキュリティが強化された Windows ファイアウォール ] ダイアログ ボックスで、左側のパネルから [ 受信規則 ] を選択します。

  5. 目的のルールを右クリックし、[ プロパティ ] を選択して [ プロパティ ] ダイアログ ボックスを開きます。

    • [ 全般 ] タブで、[ 接続を許可 する] チェック ボックスをオンにします。

    • [ スコープ ] タブで、[リモート IP アドレス] 設定を [ローカル サブネット] (既定値) から変更して、必要な特定のアクセスを許可します。

    • [ 詳細設定 ] タブで、ネットワーク (ドメインまたはプライベート/パブリック) に適用されるすべてのプロファイルの選択を確認します。

    特定のシナリオでは、ハードウェア ファイアウォールを介して許可される TCP/IP ポートのセットは限られています。 管理者は、WMI (TCP/IP 経由の RPC に依存) が、これらの種類のファイアウォールを介して許可されていることを確認する必要があります。 既定では、WMI ポートは 1024 より上の動的に割り当てられたランダム ポートです。 次の Microsoft ナレッジ記事では、管理者が動的に割り当てられたポートの範囲を制限する方法について説明します。 動的に割り当てられたポートの範囲を制限することは、たとえば、ハードウェア ファイアウォールで特定の範囲のポート内のトラフィックのみを許可する場合に役立ちます。

    詳細については、「 ファイアウォールで動作するように RPC 動的ポート割り当てを構成する方法」を参照してください。

ワークグループに参加しているコンピューターにアクセスするための VAMT のレジストリ値を作成する

Warning

このセクションでは、レジストリを変更する方法について説明します。 レジストリを変更する前に、必ずレジストリをバックアップしてください。さらに、問題が発生した場合は、レジストリを復元する方法を確認してください。 レジストリをバックアップ、復元、変更する方法の詳細については、「 高度なユーザー向けの Windows レジストリ情報」を参照してください。

クライアント コンピューターで、regedit.exe を使用して次のレジストリ キーを作成します。

  1. に移動する HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. 次のように設定します。

    • 値名: LocalAccountTokenFilterPolicy
    • 型: DWORD
    • 値データ: 1

    ワークグループ内の VAMT で管理可能な Windows コンピューターを検出するには、各クライアントでネットワーク検出を有効にする必要があります。

展開オプション

組織でコンピューターの WMI ファイアウォール例外を構成するには、いくつかのオプションがあります。

  • イメージ。 すべてのクライアントに展開されたマスター Windows イメージに構成を追加します。

  • グループ ポリシー。 クライアントがドメインの一部である場合は、グループ ポリシーを使用してすべてのクライアントを構成できます。 WMI ファイアウォール例外のグループ ポリシー設定は、GPMC にあります。MSC at: コンピューター構成>Windows 設定>セキュリティ設定>高度なセキュリティを備えた Windows ファイアウォール 高度なセキュリティ>>受信規則備えた Windows ファイアウォール

  • スクリプト。 Microsoft Configuration Managerまたはサードパーティのリモート スクリプト実行機能を使用してスクリプトを実行します。

  • 手動: 各クライアントで WMI ファイアウォールの例外を個別に構成します。

上記の構成では、ターゲット コンピューター上の Windows ファイアウォールを介して追加のポートが開き、ネットワーク ファイアウォールによって保護されているコンピューターで実行する必要があります。 VAMT が最新のライセンス状態を照会できるようにするには、WMI 例外を維持する必要があります。 管理者は、ネットワーク セキュリティ ポリシーを参照し、WMI 例外を作成するときに明確な決定を行うことをお勧めします。