クライアント コンピューターを構成する
ボリューム ライセンス認証管理ツール (VAMT) を正しく機能させるには、すべてのクライアント コンピューターで特定の構成変更が必要です。
クライアント コンピューターのファイアウォールで例外を設定する必要があります。
ワークグループ内のコンピューターの場合は、レジストリ キーを作成して適切に設定する必要があります。それ以外の場合、Windows® ユーザー アカウント制御 (UAC) はリモート管理操作を許可しません。
VAMT が広く使用される組織は、Windows のマスター イメージ内でこれらの変更を行うとメリットがあります。
重要
この手順は、Windows Vista 以降を実行しているクライアントにのみ適用されます。 Windows XP Service Pack 1 を実行しているクライアントについては、「 Windows ファイアウォールを介した接続」を参照してください。
VAMT アクセスを許可するように Windows ファイアウォールを構成する
VAMT が Windows ファイアウォール コントロール パネルを使用してクライアント コンピューターにアクセスできるようにします。
[コントロール パネル] を開き、[ システムとセキュリティ] をダブルクリックします。
[ Windows ファイアウォール] を選択します。
[ Windows ファイアウォールを使用してプログラムまたは機能を許可する] を選択します。
[ 設定の変更 ] オプションを選択します。
[ Windows Management Instrumentation (WMI)] チェック ボックスをオンにします。
[OK] を選択します。
Warning
既定では、Windows ファイアウォールの例外は、ローカル サブネット上のトラフィックにのみ適用されます。 例外を展開して複数のサブネットに適用するには、次に説明するように、セキュリティが強化された Windows ファイアウォールの例外設定を変更する必要があります。
複数のサブネット間で VAMT アクセスを許可するように Windows ファイアウォールを構成する
セキュリティコントロール パネルが 強化された Windows ファイアウォール を使用して、VAMT が複数のサブネットにまたがるクライアント コンピューターにアクセスできるようにします。
コントロール パネルを開き、[ 管理ツール] をダブルクリックします。
[ セキュリティが強化された Windows ファイアウォール] を選択します。
該当するネットワーク プロファイル (ドメイン、パブリック、プライベート) に対して、次の 3 つの WMI 項目ごとに変更を加えます。
Windows 管理インストルメンテーション (ASync-In)
Windows 管理インストルメンテーション (DCOM-In)
Windows 管理インストルメンテーション (WMI-In)
[ セキュリティが強化された Windows ファイアウォール ] ダイアログ ボックスで、左側のパネルから [ 受信規則 ] を選択します。
目的のルールを右クリックし、[ プロパティ ] を選択して [ プロパティ ] ダイアログ ボックスを開きます。
[ 全般 ] タブで、[ 接続を許可 する] チェック ボックスをオンにします。
[ スコープ ] タブで、[リモート IP アドレス] 設定を [ローカル サブネット] (既定値) から変更して、必要な特定のアクセスを許可します。
[ 詳細設定 ] タブで、ネットワーク (ドメインまたはプライベート/パブリック) に適用されるすべてのプロファイルの選択を確認します。
特定のシナリオでは、ハードウェア ファイアウォールを介して許可される TCP/IP ポートのセットは限られています。 管理者は、WMI (TCP/IP 経由の RPC に依存) が、これらの種類のファイアウォールを介して許可されていることを確認する必要があります。 既定では、WMI ポートは 1024 より上の動的に割り当てられたランダム ポートです。 次の Microsoft ナレッジ記事では、管理者が動的に割り当てられたポートの範囲を制限する方法について説明します。 動的に割り当てられたポートの範囲を制限することは、たとえば、ハードウェア ファイアウォールで特定の範囲のポート内のトラフィックのみを許可する場合に役立ちます。
詳細については、「 ファイアウォールで動作するように RPC 動的ポート割り当てを構成する方法」を参照してください。
ワークグループに参加しているコンピューターにアクセスするための VAMT のレジストリ値を作成する
Warning
このセクションでは、レジストリを変更する方法について説明します。 レジストリを変更する前に、必ずレジストリをバックアップしてください。さらに、問題が発生した場合は、レジストリを復元する方法を確認してください。 レジストリをバックアップ、復元、変更する方法の詳細については、「 高度なユーザー向けの Windows レジストリ情報」を参照してください。
クライアント コンピューターで、regedit.exe を使用して次のレジストリ キーを作成します。
に移動する
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
次のように設定します。
- 値名: LocalAccountTokenFilterPolicy
- 型: DWORD
- 値データ: 1
注
ワークグループ内の VAMT で管理可能な Windows コンピューターを検出するには、各クライアントでネットワーク検出を有効にする必要があります。
展開オプション
組織でコンピューターの WMI ファイアウォール例外を構成するには、いくつかのオプションがあります。
画像。 すべてのクライアントに展開されたマスター Windows イメージに構成を追加します。
グループ ポリシー。 クライアントがドメインの一部である場合は、すべてのクライアントをグループ ポリシーを使用して構成できます。 WMI ファイアウォール例外のグループ ポリシー設定は GPMC にあります。MSC at: Computer Configuration>Windows Settings>Security Settings>Windows Firewall with Advanced Security>Windows Firewall with Advanced Security>Inbound Rules。
スクリプト。 Microsoft Configuration Manager またはサード パーティのリモート スクリプト実行機能を使用してスクリプトを実行します。
手動。 各クライアントで WMI ファイアウォールの例外を個別に構成します。
上記の構成では、ターゲット コンピューター上の Windows ファイアウォールを介して追加のポートが開き、ネットワーク ファイアウォールによって保護されているコンピューターで実行する必要があります。 VAMT が最新のライセンス状態を照会できるようにするには、WMI 例外を維持する必要があります。 管理者は、ネットワーク セキュリティ ポリシーを参照し、WMI 例外を作成するときに明確な決定を行うことをお勧めします。