Поделиться через

Настройка клиентских компьютеров

  • Статья

Чтобы обеспечить правильную работу средства управления активацией корпоративных лицензий (VAMT), на всех клиентских компьютерах требуются определенные изменения конфигурации:

  • В брандмауэре клиентского компьютера необходимо задать исключение.

  • Раздел реестра должен быть создан и правильно задан для компьютеров в рабочей группе; В противном случае контроль учетных записей Windows® (UAC) не разрешает удаленные административные операции.

Организации, в которых VAMT будет широко использоваться, могут извлечь выгоду из внесения этих изменений в главный образ для Windows.

Важно.

Эта процедура применяется только к клиентам под управлением Windows Vista или более поздней версии. Сведения о клиентах под управлением Windows XP с пакетом обновления 1 (SP1) см. в статье Подключение через брандмауэр Windows.

Настройка брандмауэра Windows для разрешения доступа VAMT

Включите VAMT для доступа к клиентским компьютерам с помощью панели управления брандмауэром Windows :

  1. Откройте панель управления и дважды щелкните элемент Система и безопасность.

  2. Выберите Брандмауэр Windows.

  3. Выберите Разрешить программу или компонент через брандмауэр Windows.

  4. Выберите параметр Изменить параметры .

  5. Установите флажок Инструментарий управления Windows (WMI).

  6. Нажмите ОК.

Warning

По умолчанию исключения брандмауэра Windows применяются только к трафику, исходя из локальной подсети. Чтобы развернуть исключение для нескольких подсетей, необходимо изменить параметры исключения в брандмауэре Windows в режиме повышенной безопасности, как описано ниже.

Настройка брандмауэра Windows для разрешения доступа VAMT в нескольких подсетях

Включите VAMT для доступа к клиентским компьютерам в нескольких подсетях с помощью панели управления Брандмауэр Windows в режиме повышенной безопасности :

Конфигурация брандмауэра VAMT для нескольких подсетей.

  1. Откройте панель управления и дважды щелкните Администрирование.

  2. Выберите Брандмауэр Windows в режиме повышенной безопасности.

  3. Внесите изменения для каждого из следующих трех элементов WMI для соответствующего сетевого профиля (домен, общедоступный, частный):

    • Инструментирование управления Windows (асинхронное)

    • Инструментирование управления Windows (DCOM-in)

    • Инструментарий управления Windows (WMI-in)

  4. В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности выберите Правила для входящего трафика на панели слева.

  5. Щелкните правой кнопкой мыши нужное правило и выберите Свойства , чтобы открыть диалоговое окно Свойства .

    • На вкладке Общие установите флажок Разрешить подключение .

    • На вкладке Область измените параметр Удаленный IP-адрес с "Локальная подсеть" (по умолчанию), чтобы разрешить конкретный доступ.

    • На вкладке Дополнительно проверьте выбор всех профилей, применимых к сети (домен, частный или общедоступный).

    В некоторых сценариях через аппаратный брандмауэр разрешен только ограниченный набор портов TCP/IP. Администраторы должны убедиться, что WMI (который использует RPC через TCP/IP) разрешен через эти типы брандмауэров. По умолчанию порт WMI является динамически выделенным случайным портом выше 1024. В следующей статье майкрософт описывается, как администраторы могут ограничить диапазон динамически выделенных портов. Ограничение диапазона динамически выделенных портов полезно, если, например, аппаратный брандмауэр разрешает трафик только в определенном диапазоне портов.

    Дополнительные сведения см. в разделе Настройка динамического выделения портов RPC для работы с брандмауэрами.

Создание значения реестра для VAMT для доступа к компьютеру, присоединенном к рабочей группе

Warning

В этом разделе содержатся сведения об изменении реестра. Перед изменением реестра обязательно создайте резервную копию. Кроме того, убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании, восстановлении и изменении реестра см. в разделе Сведения о реестре Windows для опытных пользователей.

На клиентском компьютере создайте следующий раздел реестра с помощью regedit.exe.

  1. Перейдите к HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. Введите следующие данные:

    • Имя значения: LocalAccountTokenFilterPolicy
    • Тип: DWORD
    • Данные значения: 1

    Примечание.

    Чтобы обнаружить управляемые VAMT компьютеры Windows в рабочих группах, необходимо включить обнаружение сети на каждом клиенте.

Варианты развертывания

Существует несколько вариантов настройки исключения брандмауэра WMI для компьютеров:

  • Образ. Добавьте конфигурации в главный образ Windows, развернутый для всех клиентов.

  • Групповая политика. Если клиенты являются частью домена, все клиенты можно настроить с помощью групповой политики. Параметр групповой политики для исключения брандмауэра WMI находится в GPMC. MSC at: Конфигурация> компьютераПараметры>Windows Параметры> безопасностиБрандмауэр Windows в режиме повышенной безопасности>Брандмауэр Windows с расширенными правилами для>входящих подключений.

  • Сценарий. Выполните скрипт с помощью Microsoft Configuration Manager или стороннего средства удаленного выполнения скриптов.

  • Вручную. Настройте исключение брандмауэра WMI отдельно на каждом клиенте.

Приведенные выше конфигурации открывают дополнительный порт через брандмауэр Windows на целевых компьютерах и должны выполняться на компьютерах, защищенных сетевым брандмауэром. Чтобы разрешить VAMT запрашивать актуальное состояние лицензирования, необходимо сохранить исключение WMI. Мы рекомендуем администраторам обращаться к своим политикам безопасности сети и принимать четкие решения при создании исключения WMI.

Требования VAMT

Установка VAMT