Partager via

Configurer les ordinateurs clients

  • Article

Pour permettre à l’outil Gestion de l’activation en volume de fonctionner correctement, il convient d’apporter certaines modifications à la configuration de tous les ordinateurs clients :

  • Une exception doit être définie dans le pare-feu de l’ordinateur client.

  • Une clé de Registre doit être créée et définie correctement pour les ordinateurs d’un groupe de travail. À défaut, le Contrôle de compte d’utilisateur Windows® n’autorise pas les opérations d’administration à distance.

Les organisations qui prévoient de beaucoup utiliser l’outil Gestion de l’activation en volume ont peut-être intérêt à apporter ces modifications dans l’image principale de Windows.

Important

Cette procédure vaut uniquement pour les clients exécutant Windows Vista® ou une version ultérieure. Pour les clients exécutant Windows XP Service Pack 1, voir Connexion via le Pare-feu Windows.

Configuration du Pare-feu Windows pour autoriser l’accès VAMT

Autorisez l’outil VAMT à accéder aux ordinateurs clients via l’application Pare-feu Windows du Panneau de configuration :

  1. Ouvrez le Panneau de configuration et double-cliquez sur Système et sécurité.

  2. Cliquez sur Pare-feu Windows.

  3. Cliquez sur Autoriser un programme ou une fonctionnalité via le Pare-feu Windows.

  4. Cliquez sur l’option Modifier les paramètres.

  5. Activez la case à cocher Infrastructure de gestion Windows (WMI).

  6. Cliquez sur OK.

Avertissement

Par défaut, les exceptions du Pare-feu Windows s’appliquent uniquement au trafic en provenance du sous-réseau local. Pour étendre l’exception à plusieurs sous-réseaux, vous devez modifier les paramètres d’exception dans Pare-feu Windows avec fonctions avancées de sécurité, comme décrit ci-dessous.

Configurer le Pare-feu Windows pour autoriser VAMT à accéder à plusieurs sous-réseaux

Autorisez VAMT à accéder aux ordinateurs clients de plusieurs sous-réseaux via le Panneau de configuration Pare-feu Windows avec fonctions avancées de sécurité :

Configuration de pare-feu VAMT pour plusieurs sous-réseaux

  1. Ouvrez le Panneau de configuration et double-cliquez sur Outils d’administration.

  2. Cliquez sur Pare-feu Windows avec fonctions avancées de sécurité.

  3. Pour chacun des trois éléments WMI ci-dessous, apportez les modifications répertoriées aux étapes a à c pour le profil réseau applicable (Domaine, Public, Privé) :

    • Windows Management Instrumentation (ASync-In)

    • Windows Management Instrumentation (DCOM-In)

    • Windows Management Instrumentation (WMI-In)

    1. Dans la boîte de dialogue Pare-feu Windows avec sécurité avancée, sélectionnez Règles de trafic entrant dans le volet de gauche.

    2. Cliquez avec le bouton droit sur la règle souhaitée, puis sélectionnez Propriétés pour ouvrir la boîte de dialogue Propriétés.

    3. Sous l’onglet Général, activez la case à cocher Autoriser la connexion.

    4. Sous l’onglet Étendue, modifiez la valeur par défaut du paramètre Adresse IP distante (« Sous-réseau local ») de manière à autoriser l’accès spécifique dont vous avez besoin.

    5. Sous l’onglet Avancé, vérifiez la sélection de tous les profils applicables au réseau (Domaine ou Privé/Public).

Dans certains scénarios, seul un ensemble limité de ports TCP/IP est autorisé avec un pare-feu matériel. Les administrateurs doivent s’assurer que WMI (qui repose sur RPC sur TCP/IP) est autorisé avec ce type de pare-feu. Par défaut, le port WMI est un port aléatoire alloué dynamiquement supérieur à 1 024. L’article de la Base de connaissances Microsoft mentionné ci-dessous explique comment les administrateurs peuvent limiter la plage de ports alloués dynamiquement. Cela peut s’avérer utile si, par exemple, le pare-feu matériel autorise le trafic uniquement dans une certaine plage de ports.

Pour plus d’informations sur la configuration de l’allocation de port dynamique RPC avec un pare-feu, voir Comment faire pour configurer l’allocation de port dynamique RPC avec un pare-feu

Créer une valeur de Registre pour permettre à VAMT d’accéder aux ordinateurs joints à un groupe de travail

Avertissement

Cette section contient des informations concernant la modification du Registre. Veillez à sauvegarder le Registre avant de le modifier. De même, assurez-vous d’être en mesure de restaurer le Registre en cas de problème. Pour plus d’informations sur la façon de sauvegarder, restaurer et modifier le Registre, voir l’article de la Base de connaissances Microsoft : Informations sur le Registre Windows pour utilisateurs expérimentés.

Sur l’ordinateur client, créez la clé de Registre suivante à l’aide de regedit.exe.

  1. Accédez à HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. Entrez les détails suivants :

    Nom de la valeur : LocalAccountTokenFilterPolicy

    Type : DWORD

    Données de la valeur : 1

Notes

Pour détecter les ordinateurs Windows gérables par VAMT dans les groupes de travail, vous devez activer la détection réseau sur chaque client.

Options de déploiement

Les organisation disposent de plusieurs options pour configurer l’exception de pare-feu WMI pour les ordinateurs :

  • Image. Permet d’ajouter les configurations à l’image principale Windows déployée sur tous les clients.

  • Stratégie de groupe. Si les clients font partie d’un domaine, tous les clients peuvent être configurés via la stratégie de groupe. Le paramètre Stratégie de groupe pour l’exception de pare-feu WMI se trouve dans GPMC.MSC à l’emplacement suivant : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec sécurité avancée\Pare-feu Windows avec sécurité avancée\Règles de trafic entrant.

  • Script. Permet d’exécuter un script à l’aide de Microsoft System Center Configuration Manager ou d’une fonctionnalité d’exécution de script à distance émanant d’un éditeur tiers.

  • Manuel. Permet de configurer l’exception de pare-feu WMI séparément sur chaque client.

Les configurations précédentes ont pour effet d’ouvrir un port supplémentaire via le Pare-feu Windows sur les ordinateurs cibles et doivent être exécutées sur les ordinateurs protégés par un pare-feu réseau. Pour permettre à VAMT d’obtenir l’état de licence à jour au moyen d’une requête, l’exception WMI doit être maintenue. Nous recommandons aux administrateurs de consulter leur stratégie de sécurité réseau et de prendre des décisions claires au moment de créer l’exception WMI.

Voir aussi

Autres ressources

Installer et configurer l’outil Gestion de l’activation en volume