配置客户端计算机

若要使批量激活管理工具 (VAMT) 正常工作,需要对所有客户端计算机进行某些配置更改:

  • 必须在客户端计算机的防火墙中设置异常。

  • 必须为工作组中的计算机正确创建和设置注册表项;否则,Windows® 用户帐户控制 (UAC) 将不允许远程管理操作。

将广泛使用 VAMT 的组织可能会受益于在 Windows 的主映像中进行这些更改。

重要提示

此过程仅适用于运行 Windows Vista 或更高版本的客户端。 对于运行 Windows XP Service Pack 1 的客户端,请参阅 通过 Windows 防火墙进行连接

配置 Windows 防火墙以允许 VAMT 访问

允许 VAMT 使用 Windows 防火墙 控制面板访问客户端计算机:

  1. 打开“控制面板”,然后双击“ 系统和安全”。

  2. 选择“ Windows 防火墙”。

  3. 选择 “允许程序或功能通过 Windows 防火墙”。

  4. 选择“ 更改设置” 选项。

  5. 选中“ Windows Management Instrumentation (WMI) ”复选框。

  6. 选择“确定”

警告

默认情况下,Windows 防火墙例外仅适用于源自本地子网的流量。 若要扩展例外以应用于多个子网,需要更改具有高级安全性的 Windows 防火墙中的异常设置,如下所述。

配置 Windows 防火墙以允许跨多个子网进行 VAMT 访问

允许 VAMT 使用 具有高级安全控制面板的 Windows 防火墙 访问跨多个子网的客户端计算机:

多个子网的 VAMT 防火墙配置。

  1. 打开“控制面板”,然后双击“ 管理工具”。

  2. 选择“ 具有高级安全性的 Windows 防火墙”。

  3. 针对适用的网络配置文件 (域、公共、专用) ,对以下三个 WMI 项中的每一项进行更改:

    • Windows Management Instrumentation (ASync-in)

    • Windows Management Instrumentation (DCOM-in)

    • Windows Management Instrumentation (WMI-in)

  4. 在“ 高级安全 Windows 防火墙 ”对话框中,从左侧面板中选择“ 入站规则 ”。

  5. 右键单击所需的规则,然后选择 “属性” 以打开“ 属性 ”对话框。

    • 在“ 常规 ”选项卡上,选中“ 允许连接 ”复选框。

    • 在“ 作用域 ”选项卡上,将“远程 IP 地址”设置从“本地子网” (默认) 更改为允许所需的特定访问权限。

    • 在“ 高级 ”选项卡上,验证适用于网络 (域或专用/公共) 的所有配置文件的选择。

    在某些情况下,仅允许一组有限的 TCP/IP 端口通过硬件防火墙。 管理员必须确保通过这些类型的防火墙允许通过 TCP/IP) 依赖于 RPC 的 WMI (。 默认情况下,WMI 端口是动态分配的随机端口,高于 1024。 以下Microsoft知识文章讨论了管理员如何限制动态分配端口的范围。 例如,如果硬件防火墙仅允许特定端口范围内的流量,则限制动态分配的端口的范围很有用。

    有关详细信息,请参阅 如何配置 RPC 动态端口分配以使用防火墙

为 VAMT 创建注册表值以访问加入工作组的计算机

警告

本部分包含有关如何修改注册表的信息。 在修改注册表之前,请确保备份注册表;此外,如果出现问题,请确保知道如何还原注册表。 有关如何备份、还原和修改注册表的详细信息,请参阅 高级用户的 Windows 注册表信息

在客户端计算机上,使用 regedit.exe 创建以下注册表项。

  1. 导航到 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. 输入以下详细信息:

    • 值名称:LocalAccountTokenFilterPolicy
    • 类型:DWORD
    • 值数据:1

    注意

    若要在工作组中发现 VAMT 可管理的 Windows 计算机,必须在每个客户端上启用网络发现。

部署选项

组织可以使用多种选项为计算机配置 WMI 防火墙例外:

  • 图像。 将配置添加到部署到所有客户端的主 Windows 映像。

  • 组策略。 如果客户端是域的一部分,则可以使用组策略配置所有客户端。 在 GPMC 中找到 WMI 防火墙例外的组策略设置。MSC 位于: 计算机配置>Windows 设置>安全设置>具有高级安全性>的 Windows 防火墙与高级安全>入站规则的 Windows 防火墙。

  • 脚本。 使用 Microsoft Configuration Manager 或第三方远程脚本执行工具执行脚本。

  • 手动。 在每个客户端上单独配置 WMI 防火墙例外。

上述配置将通过目标计算机上的 Windows 防火墙打开一个附加端口,应在受网络防火墙保护的计算机上执行。 为了允许 VAMT 查询最新的许可状态,必须维护 WMI 异常。 我们建议管理员在创建 WMI 例外时参考其网络安全策略并做出明确的决策。