Настройка клиентских компьютеров

  • Статья

Для правильной работы средства управления активацией корпоративных лицензий (VAMT) необходимо внести определенные изменения в настройки всех клиентских компьютеров.

  • В брандмауэре клиентского компьютера необходимо создать исключение.

  • На компьютерах рабочей группы необходимо правильно создать и установить ключ реестра. В противном случае служба контроля учетных записей Windows® (UAC) заблокирует возможность удаленного администрирования.

Внесение таких изменений в главный образ Windows дает определенные преимущества организациям, в которых планируется широко использовать VAMT.

Важно  

Данная процедура применима только к Windows Vista или более поздней версии. Для клиентов под управлением Windows XP с пакетом обновления 1 см. раздел Подключение через брандмауэр Windows.

 

Настройка брандмауэра Windows для разрешения доступа VAMT

Предоставьте VAMT доступ к клиентским компьютерам с помощью панели управления Брандмауэр Windows.

  1. Откройте панель управления и дважды щелкните Система и безопасность.

  2. Щелкните Брандмауэр Windows.

  3. Нажмите Разрешить запуск программы или функции через брандмауэр Windows.

  4. Щелкните Изменить настройки.

  5. Установите флажок Инструментарий управления Windows (WMI).

  6. Нажмите кнопку ОК.

Предупреждение  

По умолчанию исключения брандмауэра Windows применяются только к трафику локальной подсети. Чтобы применить исключения к нескольким подсетям, необходимо изменить настройки исключений в брандмауэре Windows в режиме повышенной безопасности следующим образом.

 

Настройка брандмауэра Windows для доступа VAMT к нескольким подсетям

Предоставьте VAMT доступ к клиентским компьютерам в различных подсетях с помощью панели управления Брандмауэр Windows в режиме повышенной безопасности.

Конфигурация брандмауэра VAMT для нескольких подсетей

  1. Откройте панель управления и дважды щелкните Администрирование.

  2. Щелкните Брандмауэр Windows в режиме повышенной безопасности.

  3. Внесите исправления, перечисленные в пунктах a–c, по каждому из трех перечисленных ниже элементов WMI для применимого профиля сети («Домен», «Общедоступная», «Частная»):

    • Инструментарий управления Windows (ASync-In)

    • Инструментарий управления Windows (DCOM-In)

    • Инструментарий управления Windows (WMI-In)

    1. В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности выберите Входящие правила на панели слева.

    2. Щелкните правой кнопкой мыши необходимое правило и выберите Свойства, чтобы открыть диалоговое окно Свойства.

    3. На вкладке Общие установите флажок Разрешить подключение.

    4. На вкладке Области измените заданное по умолчанию значение «Локальная подсеть» параметра удаленного IP-адреса, чтобы разрешить необходимый вам доступ.

    5. На вкладке Дополнительно убедитесь, что выбраны все профили, применимые для сети (Domain или Private/Public).

В некоторых сценариях доступ через аппаратный брандмауэр разрешается только через ограниченный набор портов TCP/IP. Администраторы должны обеспечивать работу WMI (которая зависит от удаленного вызова процедур по TCP/IP) через такие типы брандмауэров. По умолчанию для WMI выделяется динамически назначаемый случайный порт выше 1024. В следующей статье базы знаний Майкрософт рассматриваются способы ограничения администраторами диапазона динамически назначаемых портов. Это очень удобно, например, если аппаратный брандмауэр пропускает трафик только в определенном диапазоне портов.

Дополнительные сведения см. в разделе Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

Создание значения реестра для предоставления VAMT доступа к компьютерам рабочей группы

Внимание  

В этом разделе содержится информация о способах внесения изменений в реестр. Перед внесением изменений обязательно создайте резервную копию реестра. Кроме того, вы должны уметь восстанавливать реестр в случае возникновения проблемы. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра, см. в разделе Сведения о реестре Windows для опытных пользователей.

 

С помощью regedit.exe создайте на клиентском компьютере следующий ключ реестра.

  1. Перейдите к HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. Введите следующие данные:

    Value Name: LocalAccountTokenFilterPolicy

    Type: DWORD

    Value Data: 1

Примечание  

Чтобы обнаружить в рабочей группе компьютеры Windows, которыми можно управлять с помощью VAMT, необходимо разрешить функцию обнаружения сетевых ресурсов на каждом клиенте.

 

Варианты развертывания

Существует несколько вариантов настройки исключений в брандмауэре для WMI.

  • Образ. Добавьте настройки в главный образ Windows, развертываемый на всех клиентах.

  • Групповая политика. Если клиенты являются членами домена, то все клиенты могут настраиваться с использованием групповой политики. Параметр групповой политики для создания исключения в брандмауэре для WMI настраивается в GPMC.MSC: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности\Правила для входящих подключений.

  • Сценарий. Выполните сценарий с помощью Microsoft System Center Configuration Manager или средства для удаленного выполнения сценариев стороннего разработчика.

  • Вручную. Настройте исключение в брандмауэре для WMI отдельно на каждом клиенте.

Перечисленные выше настройки позволяют открыть дополнительный порт в брандмауэре Windows конечных компьютеров. Выполнять эти настройки разрешается на компьютерах, защищенных сетевым брандмауэром. Чтобы разрешить VAMT определять актуальный статус лицензий, необходимо сохранять исключение для WMI. Администраторам рекомендуется обращаться к политикам сетевой безопасности и принимать обдуманные решения при создании исключения для WMI.

Связанные разделы

Установка и настройка средства управления активацией корпоративных лицензий