Konfigurieren von Clientcomputern

  • Artikel

Damit die Tool für die Volumenaktivierungsverwaltung (VAMT) ordnungsgemäß funktioniert, sind bestimmte Konfigurationsänderungen auf allen Clientcomputern erforderlich:

  • Eine Ausnahme muss in der Firewall des Clientcomputers festgelegt werden.

  • Ein Registrierungsschlüssel muss für Computer in einer Arbeitsgruppe ordnungsgemäß erstellt und festgelegt werden. Andernfalls lässt die Windows-Benutzerkontensteuerung® (UAC) keine Remoteverwaltungsvorgänge zu.

Organisationen, in denen das VAMT weit verbreitet ist, können davon profitieren, dass diese Änderungen im master Image für Windows vorgenommen werden.

Wichtig

Dieses Verfahren gilt nur für Clients, auf denen Windows Vista oder höher ausgeführt wird. Informationen zu Clients, auf denen Windows XP Service Pack 1 ausgeführt wird, finden Sie unter Herstellen einer Verbindung über die Windows-Firewall.

Konfigurieren der Windows-Firewall zum Zulassen des VAMT-Zugriffs

Aktivieren Sie das VAMT für den Zugriff auf Clientcomputer mithilfe der Windows-Firewall-Systemsteuerung:

  1. Öffnen Sie Systemsteuerung, und doppelklicken Sie auf System und Sicherheit.

  2. Wählen Sie Windows-Firewall aus.

  3. Wählen Sie Programm oder Feature über die Windows-Firewall zulassen aus.

  4. Wählen Sie die Option Einstellungen ändern aus.

  5. Aktivieren Sie das Kontrollkästchen Windows-Verwaltungsinstrumentation (WMI).

  6. Wählen Sie OK aus.

Warnung

Standardmäßig gelten Windows-Firewallausnahmen nur für Datenverkehr, der aus dem lokalen Subnetz stammt. Um die Ausnahme für mehrere Subnetze zu erweitern, müssen Sie die Ausnahmeeinstellungen in der Windows-Firewall mit erweiterter Sicherheit wie unten beschrieben ändern.

Konfigurieren der Windows-Firewall zum Zulassen des VAMT-Zugriffs über mehrere Subnetze hinweg

Aktivieren Sie das VAMT für den Zugriff auf Clientcomputer in mehreren Subnetzen mithilfe der Windows-Firewall mit erweiterter Sicherheit Systemsteuerung:

VAMT-Firewallkonfiguration für mehrere Subnetze.

  1. Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Verwaltung.

  2. Wählen Sie Windows-Firewall mit erweiterter Sicherheit aus.

  3. Nehmen Sie ihre Änderungen für jedes der folgenden drei WMI-Elemente für das entsprechende Netzwerkprofil (Domäne, Öffentlich, Privat) vor:

    • Windows-Verwaltungsinstrumentation (ASync-In)

    • Windows-Verwaltungsinstrumentation (DCOM-In)

    • Windows-Verwaltungsinstrumentation (WMI-In)

  4. Wählen Sie im Dialogfeld Windows-Firewall mit erweiterter Sicherheit im linken Bereich Eingehende Regeln aus.

  5. Klicken Sie mit der rechten Maustaste auf die gewünschte Regel, und wählen Sie Eigenschaften aus, um das Dialogfeld Eigenschaften zu öffnen.

    • Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Verbindung zulassen .

    • Ändern Sie auf der Registerkarte Bereich die Einstellung Remote-IP-Adresse von "Lokales Subnetz" (Standard), um den benötigten spezifischen Zugriff zuzulassen.

    • Überprüfen Sie auf der Registerkarte Erweitert die Auswahl aller Profile, die für das Netzwerk gelten (Domäne oder Privat/Öffentlich).

    In bestimmten Szenarien ist nur ein begrenzter Satz von TCP/IP-Ports über eine Hardwarefirewall zulässig. Administratoren müssen sicherstellen, dass WMI (das auf RPC über TCP/IP basiert) über diese Firewalltypen zugelassen wird. Standardmäßig ist der WMI-Port ein dynamisch zugeordneter zufälliger Port über 1024. Im folgenden Microsoft-Wissensartikel wird erläutert, wie Administratoren den Bereich der dynamisch zugeordneten Ports einschränken können. Das Einschränken des Bereichs dynamisch zugeordneter Ports ist nützlich, wenn die Hardwarefirewall beispielsweise nur Datenverkehr in einem bestimmten Portbereich zulässt.

    Weitere Informationen finden Sie unter Konfigurieren der dynamischen RPC-Portzuordnung für die Verwendung von Firewalls.

Erstellen eines Registrierungswerts für das VAMT für den Zugriff auf den In die Arbeitsgruppe eingebundenen Computer

Warnung

Dieser Abschnitt enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie außerdem sicher, dass Sie wissen, wie die Registrierung wiederhergestellt wird, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Windows-Registrierungsinformationen für fortgeschrittene Benutzer.

Erstellen Sie auf dem Clientcomputer mithilfe von regedit.exe den folgenden Registrierungsschlüssel.

  1. Navigieren Sie zu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. Geben Sie die folgenden Details ein:

    • Wertname: LocalAccountTokenFilterPolicy
    • Typ: DWORD
    • Wertdaten: 1

    Hinweis

    Um VAMT-verwaltbare Windows-Computer in Arbeitsgruppen zu ermitteln, müssen Sie die Netzwerkermittlung auf jedem Client aktivieren.

Bereitstellungsoptionen

Es gibt mehrere Optionen für Organisationen, um die WMI-Firewallausnahme für Computer zu konfigurieren:

  • Bild. Fügen Sie die Konfigurationen dem master Windows-Image hinzu, das für alle Clients bereitgestellt wird.

  • Gruppenrichtlinie. Wenn die Clients Teil einer Domäne sind, können alle Clients mit Gruppenrichtlinie konfiguriert werden. Die Gruppenrichtlinie Einstellung für die WMI-Firewall-Ausnahme befindet sich in GPMC. MSC unter: Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Windows-Firewall mit erweiterter Sicherheit>Windows-Firewall mit erweiterten Sicherheitsregeln> füreingehenden Datenverkehr.

  • Skript. Führen Sie ein Skript mithilfe Microsoft Configuration Manager oder einer Remoteskriptausführungsfunktion eines Drittanbieters aus.

  • Manuell. Konfigurieren Sie die WMI-Firewall-Ausnahme einzeln auf jedem Client.

Die oben genannten Konfigurationen öffnen einen zusätzlichen Port über die Windows-Firewall auf Zielcomputern und sollten auf Computern ausgeführt werden, die durch eine Netzwerkfirewall geschützt sind. Damit VAMT die aktuelle Lizenzierungs-status abfragen kann, muss die WMI-Ausnahme beibehalten werden. Es wird empfohlen, dass Administratoren ihre Netzwerksicherheitsrichtlinien lesen und klare Entscheidungen treffen, wenn sie die WMI-Ausnahme erstellen.