配置客户端计算机

  • 项目

如要让批量激活管理工具 (VAMT) 正常工作,则必须对所有客户端计算机进行某些配置更改:

  • 必须在客户端计算机的防火墙中设置一个例外。

  • 必须为工作组中的计算机创建并正确设置注册表项;否则,Windows® 用户帐户控制 (UAC) 将不允许执行远程管理操作。

广泛应用 VAMT 的组织可能受益于在 Windows 主映像内部进行的这些更改。

重要

此步骤仅适用于运行 Windows Vista® 或更高版本的客户端。对于运行 Windows XP Service Pack 1 的客户端,请参阅“通过 Windows 防火墙连接”

配置 Windows 防火墙,以便访问 VAMT

可让 VAMT 使用“Windows Firewall”控制面板访问客户端计算机:

  1. 打开控制面板并双击**“系统和安全性”**。

  2. 单击**“Windows 防火墙”**。

  3. 单击**“允许程序或功能通过 Windows 防火墙”**。

  4. 单击**“更改设置”**选项。

  5. 选中**“Windows Management Instrumentation (WMI)”**复选框。

  6. 单击**“确定”**。

警告

在默认情况下,Windows 防火墙例外仅适用于来自本地子网的流量。为扩展例外以适用于多个子网,你必须更改高级安全 Windows 防火墙中的例外设置;相关详情如下所述。

配置 Windows 防火墙,以便跨多个子网访问 VAMT

使用**“具有高级安全性的 Windows 防火墙”**控制面板,让 VAMT 可跨多个子网访问客户端计算机:

VAMT 多子网防火墙配置

  1. 打开控制面板并双击**“管理工具”**。

  2. 单击**“具有高级安全性的 Windows 防火墙”**。

  3. 针对以下三种 WMI 项目中的每一种以及适用的网络配置文件(域、公用、私有),执行步骤 a-c 中所列的更改:

    • Windows Management Instrumentation (ASync-In)

    • Windows Management Instrumentation (DCOM-In)

    • Windows Management Instrumentation (WMI-In)

    1. 在**“具有高级安全性的 Windows 防火墙”对话框中,从左侧面板选择“入站规则”**。

    2. 右键单击所需的规则,并选择**“属性”以打开“属性”**对话框。

    3. 在**“常规”选项卡上,选中“允许连接”**复选框。

    4. 在**“范围”**选项卡上,通过更改“本地子网”(默认设置)来更改远程 IP 地址设置,以允许你所需的特定访问。

    5. 在**“高级”**选项卡上,验证选择的所有配置文件是否适用于网络(网域或专用/公用)。

在特定应用场景中,仅有一组有限的 TCP/IP 端口可通过硬件防火墙。管理员必须确保 WMI(依赖通过 TCP/IP 的 RPC)可通过这些类别的防火墙。在默认情况下,WMI 端口是动态分配至 1024 之上的随机端口中。以下 Microsoft 知识文章讨论了管理员如何限制动态分配端口的范围。例如,如果硬件防火墙仅允许端口特定范围中的流量,这是非常有用的。

有关如何配置 RPC 动态端口配置以与防火墙兼容的更多信息,请参阅“如何配置 RPC 动态端口配置以与防火墙兼容”

创建 VAMT 的注册表值,以访问与工作组连接的计算机

备注

此部分含有如何修改注册表的信息。确保在修改注册表前先备份注册表;此外,确保你知道如何在出现问题的情况下恢复注册表。有关如何备份、恢复和修改注册表的更多信息,请参阅 Microsoft 知识库文章:Windows 高级用户注册表信息

在客户端计算机,使用 regedit.exe 创建以下注册表项。

  1. 导航到 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. 键入下列详细信息:

    **值名称:**LocalAccountTokenFilterPolicy

    **类型:**DWORD

    **值数据:**1

note备注
如要发现工作组中 VAMT 可管理的 Windows 计算机,你必须启用每个客户端的网络发现功能。

部署选项

组织可选择几个选项为计算机配置 WMI 防火墙例外:

  • 映像。 将配置添加到部署到所有客户端的主 Windows 映像。

  • 组策略。 如果客户端是域的一部分,则可用组策略配置所有客户。WMI 防火墙例外的组策略设置位于 GPMC.MSC 中的以下位置:Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Inbound Rules

  • 脚本。 使用 Microsoft System Center Configuration Manager 或第三方远程脚本执行设施执行脚本。

  • 手动。 分别在各个客户端配置 WMI 防火墙例外。

上述配置将通过目标计算机上的 Windows 防火墙打开其他端口,并应在受网络防火墙保护的计算机上进行上述配置。要让 VAMT 查询更新许可状态,必须维护 WMI 例外。我们建议管理员在创建 WMI 例外时,请参阅其网络安全政策,并做出明确的决定。

另请参阅

其他资源

安装和配置 VAMT