設定客戶端電腦
若要讓大量啟用管理工具 (VAMT) 正常運作,所有用戶端電腦上都需要進行某些組態變更:
必須在用戶端電腦的防火牆中設定例外狀況。
必須為工作組中的計算機正確建立和設定登錄機碼;否則,Windows® 用戶帳戶控制 (UAC) 將不允許遠端管理作業。
將廣泛使用 VAMT 的組織可能會受益於在 Windows 的主要映射內進行這些變更。
重要
此程式僅適用於執行 Windows Vista 或更新版本的用戶端。 針對執行 Windows XP Service Pack 1 的用戶端,請參閱 透過 Windows 防火牆連線。
設定 Windows 防火牆以允許 VAMT 存取
使用 Windows 防火牆 控制面板讓 VAMT 存取用戶端電腦:
開啟 [控制面板],然後按兩下 [系統與安全性]。
選 取 [Windows 防火牆]。
選 取 [允許程式或功能通過 Windows 防火牆]。
選取 [ 變更設定] 選項。
選取 [Windows Management Instrumentation (WMI) ] 複選框。
選取 [確定]。
警告
根據預設,Windows 防火牆例外狀況僅適用於源自本機子網上的流量。 若要展開要套用至多個子網的例外狀況,您需要變更具有進階安全性的 Windows 防火牆中的例外狀況設定,如下所述。
設定 Windows 防火牆以允許跨多個子網存取 VAMT
使用 Windows 防火牆搭配 進階安全性控制面板,讓 VAMT 能夠跨多個子網存取用戶端電腦:
開啟 [控制面板],然後按兩下 [ 系統管理工具]。
選 取 [具有進階安全性的 Windows 防火牆]。
針對適用的網路配置檔 (網域、公用、私人) ,對下列三個 WMI 專案進行變更:
Windows Management Instrumentation (ASync-In)
Windows Management Instrumentation (DCOM-In)
Windows Management Instrumentation (WMI-In)
在 [ 具有進階安全性的 Windows 防火牆 ] 對話框中,從左側面板中選取 [輸入 規則 ]。
以滑鼠右鍵按下所需的規則,然後選取 [ 屬性 ] 以開啟 [ 屬性 ] 對話框。
在 [ 一般] 索引標籤上,選取 [ 允許連線] 複選框。
在 [ 範圍] 索引 卷標上,從 [本機子網] 變更 [遠端 IP 位址] 設定 (預設) ,以允許您需要的特定存取。
在 [ 進階 ] 索引標籤上,確認選取適用於網路 (網域或私人/公用) 的所有配置檔。
在某些情況下,只有一組有限的 TCP/IP 埠可以透過硬體防火牆。 系統管理員必須確保透過這些類型的防火牆允許依賴 RPC over TCP/IP) 的 WMI (。 根據預設,WMI 埠是高於1024的動態配置隨機埠。 下列Microsoft知識文章討論系統管理員如何限制動態配置的埠範圍。 例如,如果硬體防火牆只允許特定埠範圍中的流量,限制動態配置的埠範圍就很有用。
如需詳細資訊,請參閱 如何設定 RPC 動態埠配置以使用防火牆。
建立 VAMT 的登錄值,以存取已加入工作組的電腦
警告
本節包含如何修改登錄的相關信息。 修改登錄之前,請務必先備份登錄;此外,請確定您知道如何在發生問題時還原登錄。 如需如何備份、還原和修改登錄的詳細資訊,請參閱 進階使用者的 Windows 登錄資訊。
在用戶端電腦上,使用 regedit.exe 建立下列登錄機碼。
流覽至
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
輸入下列詳細資料:
- 數值名稱:LocalAccountTokenFilterPolicy
- 類型:DWORD
- 數值數據:1
注意
若要探索工作組中可管理 VAMT 的 Windows 計算機,您必須在每個用戶端上啟用網路探索。
部署選項
組織有數個選項可設定電腦的 WMI 防火牆例外狀況:
圖像。 將設定新增至部署至所有用戶端的主要 Windows 映像。
群組原則。 如果客戶端是網域的一部分,則可以使用組策略來設定所有用戶端。 在 GPMC 中找到 WMI 防火牆例外狀況的組策略設定。MSC at: Computer Configuration>Windows Settings>Security Settings>Windows Firewall with Advanced Security>Windows Firewall with Advanced Security>Inbound Rules.
腳本。 使用 Microsoft Configuration Manager 或第三方遠端腳本執行工具來執行腳本。
手動。 在每個用戶端上個別設定 WMI 防火牆例外狀況。
上述設定會透過目標電腦上的 Windows 防火牆開啟額外的埠,而且應該在受網路防火牆保護的計算機上執行。 若要允許 VAMT 查詢最新的授權狀態,必須維護 WMI 例外狀況。 建議系統管理員參閱其網路安全策略,並在建立 WMI 例外狀況時做出明確的決策。