Поделиться через

Настройка клиентских компьютеров

  • Статья

Назначение: Windows 8, Windows 8.1

Для правильной работы средства управления активацией корпоративных лицензий (VAMT) необходимо внести определенные изменения в настройки всех клиентских компьютеров.

  • В брандмауэре клиентского компьютера необходимо создать исключение.

  • На компьютерах рабочей группы необходимо правильно создать и установить ключ реестра; в противном случае контроль учетных записей Windows(R) (UAC) заблокирует возможность удаленного администрирования.

Внесение таких изменений в главный образ Windows дает определенные преимущества организациям, в которых планируется широко использовать VAMT.

Важно!

Данная процедура применима только для клиентов с версией Windows Vista(R) или более поздней. Для клиентов под управлением Windows XP с пакетом обновления 1 (SP1) см. раздел Подключение через брандмауэр Windows.

Настройка брандмауэра Windows для разрешения доступа VAMT

Разрешите доступ VAMT к клиентским компьютерам с помощью панели управления брандмауэра Windows.

  1. Откройте панель управления и дважды щелкните Система и безопасность.

  2. Щелкните Брандмауэр Windows.

  3. Щелкните Разрешить запуск программы или компонента через брандмауэр Windows.

  4. Щелкните Изменить параметры.

  5. Установите флажок Инструментарий управления Windows (WMI).

  6. Нажмите кнопку ОК.

Предупреждение

По умолчанию исключения брандмауэра Windows применяются только к трафику локальной подсети. Чтобы применить исключения к нескольким подсетям, необходимо изменить настройки исключений в брандмауэре Windows в режиме повышенной безопасности следующим образом.

Настройка брандмауэра Windows для доступа VAMT к нескольким подсетям

Предоставьте VAMT доступ к клиентским компьютерам в различных подсетях с помощью Брандмауэра Windows в режиме повышенной безопасности в панели управления.

VAMT: конфигурация брандмауэра для нескольких подсетей

  1. Откройте панель управления и дважды щелкните Администрирование.

  2. Щелкните Брандмауэр Windows в режиме повышенной безопасности.

  3. Внесите исправления, перечисленные в пунктах a–c, по каждому из трех перечисленных ниже элементов WMI для применимого профиля сети ("Домен", "Общедоступная", "Частная"):

    • инструментарий управления Windows (ASync-In)

    • инструментарий управления Windows (DCOM-In)

    • инструментарий управления Windows (WMI-In)

    1. В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности выберите Правила для входящих подключений на панели слева.

    2. Щелкните правой кнопкой мыши требуемое правило и выберите пункт Свойства, чтобы открыть диалоговое окно Свойства.

    3. На вкладке Общие установите флажок Разрешить подключение.

    4. На вкладке Область вместо значения "Локальная подсеть" (значение по умолчанию) параметра "Удаленный IP-адрес" укажите требуемое значение.

    5. На вкладке Дополнительно убедитесь, что выбраны все профили, применимые для сети ("Домен" или "Частная/Общедоступная").

В некоторых сценариях доступ через аппаратный брандмауэр разрешается только через ограниченный набор портов TCP/IP. Администраторы должны обеспечивать работу WMI (которая зависит от удаленного вызова процедур по TCP/IP) через такие типы брандмауэров. По умолчанию для WMI выделяется динамически назначаемый случайный порт выше 1024. В следующей статье базы знаний Майкрософт рассматриваются способы ограничения администраторами диапазона динамически назначаемых портов. Это очень удобно, например, если аппаратный брандмауэр пропускает трафик только в определенном диапазоне портов.

Подробнее о способах настройки динамического назначения портов RPC для работы с брандмауэром см. в статье Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром

Создание параметра реестра для доступа VAMT к компьютерам рабочей группы

Предупреждение

В этом разделе содержится информация о способах внесения изменений в реестр. Перед внесением изменений обязательно создайте резервную копию реестра. Кроме того, вы должны уметь восстанавливать реестр в случае возникновения проблемы. Подробнее о создании резервной копии, восстановлении и изменении реестра см. в статье базы знаний Майкрософт Сведения о реестре Windows для опытных пользователей.

С помощью regedit.exe создайте на клиентском компьютере следующий ключ реестра:

  1. Откройте раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. Введите следующие данные:

    Имя значения: LocalAccountTokenFilterPolicy

    Тип: DWORD

    Данные значения: 1

Примечание

Чтобы обнаружить в рабочей группе компьютеры Windows, которыми можно управлять с помощью VAMT, необходимо разрешить функцию обнаружения сетевых ресурсов на каждом клиенте.

Варианты развертывания

Существует несколько вариантов настройки исключений в брандмауэре для WMI.

  • Образ. Добавьте настройки в главный образ Windows, развернутый на всех клиентах.

  • Групповая политика. Если клиенты являются членами домена, то все клиенты можно настраивать с использованием групповой политики. Параметр групповой политики для создания исключения в брандмауэре для WMI настраивается в GPMC.MSC: Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Inbound Rules.

  • Сценарий. Выполните сценарий с помощью Microsoft System Center Configuration Manager или средства для удаленного выполнения сценариев стороннего разработчика.

  • Ручной режим. Настройте исключения брандмауэра для WMI отдельно на каждом клиенте.

Перечисленные выше настройки позволяют открыть дополнительный порт в брандмауэре Windows конечных компьютеров. Выполнять эти настройки разрешается на компьютерах, защищенных сетевым брандмауэром. Чтобы разрешить VAMT определять актуальный статус лицензий, необходимо сохранять исключение для WMI. Администраторам рекомендуется обращаться к политикам сетевой безопасности и принимать обдуманные решения при создании исключения для WMI.

См. также

Понятия

Установка и настройка средства управления активацией корпоративных лицензий