Configurar equipos cliente

Para que el Herramienta de administración de activación por volumen (VAMT) funcione correctamente, se requieren ciertos cambios de configuración en todos los equipos cliente:

  • Se debe establecer una excepción en el firewall del equipo cliente.
  • Una clave del Registro debe crearse y establecerse correctamente para los equipos de un grupo de trabajo; de lo contrario, Windows ® control de cuentas de usuario (UAC) no permitirá operaciones administrativas remotas.

Las organizaciones en las VAMT se usarán ampliamente pueden beneficiarse de realizar estos cambios dentro de la imagen maestra para Windows.

Importante

Este procedimiento solo se aplica a los clientes que ejecutan Windows Vista o posterior. Para clientes que ejecutan Windows XP Service Pack 1, consulte Connecting Through Windows Firewall.

Configuración del firewall Windows para permitir VAMT acceso

Habilite la VAMT acceso a los equipos cliente mediante el Panel de control de firewall Windows:

  1. Abra el Panel de control y haga doble clic en Sistema y seguridad.
  2. Haga clic Windows Firewall.
  3. Haga clic en Permitir un programa o característica a través Windows Firewall.
  4. Haga clic en la opción Cambiar configuración .
  5. Active la casilla Windows Instrumental de administración (WMI).
  6. Haga clic en Aceptar.

Advertencia

De forma predeterminada, Windows excepciones de firewall solo se aplican al tráfico que se origina en la subred local. Para expandir la excepción para aplicar a varias subredes, debe cambiar la configuración de excepción en el firewall de Windows con seguridad avanzada, como se describe a continuación.

Configurar Windows firewall para permitir VAMT acceso en varias subredes

Habilite el VAMT para obtener acceso a los equipos cliente en varias subredes mediante el Firewall Windows con panel de control de seguridad avanzada:

VAMT de firewall para varias subredes.

  1. Abra el Panel de control y haga doble clic en Herramientas administrativas.

  2. Haga clic Windows Firewall con seguridad avanzada.

  3. Realice los cambios correspondientes a cada uno de los tres elementos WMI siguientes para el perfil de red aplicable (Dominio, Público y Privado):

    • Windows Management Instrumentation (ASync-In)
    • Windows Management Instrumentation (DCOM-In)
    • Windows instrumental de administración (WMI-In)
  4. En el Windows de diálogo Firewall con seguridad avanzada, seleccione Reglas de entrada en el panel izquierdo.

  5. Haga clic con el botón secundario en la regla deseada y seleccione Propiedades para abrir el cuadro de diálogo Propiedades.

    • En la pestaña General , active la casilla Permitir la conexión .
    • En la pestaña Ámbito , cambie la configuración dirección IP remota de "Subred local" (predeterminada) para permitir el acceso específico que necesita.
    • En la pestaña Avanzadas, compruebe la selección de todos los perfiles aplicables a la red (Dominio o Privado/Público).

    En determinados escenarios, solo se permite un conjunto limitado de puertos TCP/IP a través de un firewall de hardware. Los administradores deben asegurarse de que WMI (que se basa en RPC sobre TCP/IP) se permite a través de estos tipos de firewalls. De forma predeterminada, el puerto WMI es un puerto aleatorio asignado dinámicamente por encima de 1024. En el siguiente artículo sobre conocimientos de Microsoft se describe cómo los administradores pueden limitar el intervalo de puertos asignados dinámicamente. Esto es útil si, por ejemplo, el firewall de hardware solo permite el tráfico en un determinado rango de puertos.

    Para obtener más información, consulta How to configure RPC dynamic port allocation to work with firewalls.

Crear un valor del Registro para el VAMT acceder al equipo unido al grupo de trabajo

Advertencia

Esta sección contiene información sobre cómo modificar el Registro. Asegúrese de hacer una copia de seguridad del Registro antes de modificarlo; además, asegúrese de que sabe cómo restaurar el Registro, si se produce un problema. Para obtener más información acerca de cómo hacer una copia de seguridad, restaurar y modificar el Registro, vea Windows información del Registro para usuarios avanzados.

En el equipo cliente, cree la siguiente clave del Registro mediante regedit.exe.

  1. Ve a HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. Escribe lo siguiente:

    • Nombre del valor: LocalAccountTokenFilterPolicy
    • Tipo: DWORD
    • Datos de valor: 1

    Nota

    Para detectar VAMT equipos Windows en grupos de trabajo, debe habilitar la detección de red en cada cliente.

Opciones de implementación

Hay varias opciones para que las organizaciones configuren la excepción de firewall WMI para equipos:

  • Imagen. Agregue las configuraciones a la imagen maestra Windows implementada en todos los clientes.
  • Directiva de grupo. Si los clientes forman parte de un dominio, todos los clientes se pueden configurar mediante la directiva de grupo. La configuración de directiva de grupo para la excepción de firewall WMI se encuentra en GPMC. MSC at: Computer Configuration\Windows Configuración\Security Configuración\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Inbound Rules.
  • Script. Ejecute un script con Microsoft Endpoint Configuration Manager o una instalación de ejecución remota de scripts de terceros.
  • Manual. Configure la excepción de firewall WMI individualmente en cada cliente.

Las configuraciones anteriores abrirán un puerto adicional a través del Firewall de Windows en equipos de destino y se deben realizar en equipos protegidos por un firewall de red. Para permitir que VAMT consultar el estado de licencia actualizado, se debe mantener la excepción WMI. Se recomienda a los administradores consultar sus directivas de seguridad de red y tomar decisiones claras al crear la excepción WMI.

Temas relacionados