配置客户端计算机

若要使批量激活管理工具 (VAMT) 正常工作,需要在所有客户端计算机上进行某些配置更改:

  • 必须在客户端计算机的防火墙中设置例外。
  • 必须为工作组中的计算机正确创建和设置注册表项;否则,Windows ® UAC (用户帐户) 将不允许远程管理操作。

在将VAMT应用该映像的组织可能会从在主映像内部进行这些更改Windows。

重要

此过程仅适用于在 Vista 或更高版本Windows客户端。 对于运行 XP Service Pack 1 Windows客户端,请参阅通过 Windows 防火墙进行连接

配置Windows防火墙以允许VAMT访问

启用VAMT防火墙控制面板访问Windows客户端计算机

  1. 打开"控制面板",然后双击" 系统和安全"
  2. 单击Windows防火墙"
  3. 单击 "允许程序或功能通过Windows防火墙"
  4. 单击" 更改设置" 选项。
  5. 选中"**Windows Management Instrumentation (WMI) **复选框。
  6. 单击“确定”****。

警告

默认情况下,Windows防火墙例外仅适用于源自本地子网的流量。 若要将异常展开以应用于多个子网,您需要更改高级安全Windows防火墙中的例外设置,如下所述。

配置Windows防火墙以允许跨VAMT访问

允许VAMT高级安全控制面板,跨多个Windows访问客户端计算机:

VAMT多个子网配置防火墙。

  1. 打开"控制面板",然后双击 "管理工具"

  2. 单击Windows高级安全防火墙"

  3. 对适用的网络配置文件域、公用、专用和专用域的以下三个 WMI 项目 (更改) :

    • Windows Management Instrumentation (ASync-In)
    • Windows Management Instrumentation (DCOM-In)
    • Windows Management Instrumentation (WMI-In)
  4. 在"Windows高级安全防火墙"对话框中,从左侧面板中选择"**** 入站规则"。

  5. 右键单击所需的规则,然后选择 "属性 "以打开 "属性 "对话框。

    • 在" 常规" 选项卡上,选中 "允许连接" 复选框。
    • 在" 范围 "选项卡上,将"远程 IP 地址"设置从"本地子网 (默认设置) 以允许所需的特定访问。
    • 在" 高级" 选项卡上,验证是否选择适用于网络或专用/公用 (配置文件) 。

    在某些情况下,仅允许一组有限的 TCP/IP 端口通过硬件防火墙。 管理员必须确保允许通过这些 (TCP/IP) 依赖于 RPC 的 WMI 应用程序。 默认情况下,WMI 端口是一个动态分配的随机端口,高于 1024。 以下 Microsoft 知识库文章讨论了管理员如何限制动态分配的端口的范围。 例如,如果硬件防火墙只允许特定端口范围中的流量,这将非常有用。

    有关详细信息,请参阅 如何配置 RPC 动态端口分配以使用防火墙

为要访问加入工作组VAMT的计算机创建注册表值

警告

本节包含有关如何修改注册表的信息。 在修改注册表之前,请确保对其进行备份;此外,请确保您知道在出现问题时如何还原注册表。 若要详细了解如何备份、还原和修改注册表,Windows高级用户的注册表信息

在客户端计算机上,使用注册表项创建以下regedit.exe。

  1. 导航到 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. 输入以下详细信息:

    • 值名称:LocalAccountTokenFilterPolicy
    • 类型:DWORD
    • 值数据:1

    备注

    若要发现VAMT可Windows的计算机,必须在每个客户端上启用网络发现。

部署选项

组织有若干选项可以配置计算机的 WMI 防火墙例外:

  • 图像。 将配置添加到部署到Windows客户端的主服务器映像。
  • 组策略。 如果客户端是域的一部分,可以使用组策略配置所有客户端。 在 GPMC 中发现 WMI 防火墙例外的组策略设置。MSC 位于:Computer Configuration\Windows 设置\Security 设置\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Inbound Rules
  • 脚本。 使用脚本或Microsoft Endpoint Configuration Manager远程脚本执行工具执行脚本。
  • 手动。 在每个客户端上单独配置 WMI 防火墙例外。

上述配置将在目标计算机上通过 Windows 防火墙打开其他端口,并且应在受网络防火墙保护的计算机上执行。 为了允许VAMT查询最新的许可状态,必须维护 WMI 异常。 我们建议管理员查阅其网络安全策略,并做出明确的决策来创建 WMI 异常。

相关主题