配置客户端计算机

  • 项目

若要让批量激活管理工具 (VAMT) 正常工作,则必须对所有客户端计算机进行某些配置更改:

  • 必须在客户端计算机的防火墙中设置一个例外。

  • 必须为工作组中的计算机创建并正确设置注册表项;否则,Windows® 用户帐户控制 (UAC) 将不允许执行远程管理操作。

广泛应用 VAMT 的组织可能受益于在 Windows 主映像内部进行的这些更改。

要点  

此步骤仅适用于运行 Windows Vista 或更高版本的客户端。对于运行 Windows XP Service Pack 1 的客户端,请参阅通过 Windows 防火墙连接

 

将 Windows 防火墙配置为允许 VAMT 访问

允许 VAMT 使用“Windows 防火墙”控制面板访问客户端计算机:

  1. 打开控制面板并双击“系统和安全”****。

  2. 单击“Windows 防火墙”。

  3. 单击“允许程序或功能通过 Windows 防火墙”****。

  4. 单击“更改设置”选项。

  5. 选中“Windows Management Instrumentation (WMI)”****复选框。

  6. 单击“确定”。

警告  

在默认情况下,Windows 防火墙例外仅适用于来自本地子网的流量。为扩展例外以适用于多个子网,你必须更改高级安全 Windows 防火墙中的例外设置;相关详情如下所述。

 

配置 Windows 防火墙,以便跨多个子网访问 VAMT

使用“高级安全 Windows 防火墙”控制面板,允许 VAMT 跨多个子网访问客户端计算机:

VAMT 多子网防火墙配置

  1. 打开控制面板并双击“管理工具”****。

  2. 单击“高级安全 Windows 防火墙”。

  3. 针对以下三种 WMI 项目中的每一种以及适用的网络配置文件(域、公用、私有),执行步骤 a-c 中所列的更改:

    • Windows Management Instrumentation (ASync-In)

    • Windows Management Instrumentation (DCOM-In)

    • Windows Management Instrumentation (WMI-In)

    1. 在“高级安全 Windows 防火墙”对话框中,从左侧面板选择“入站规则”

    2. 右键单击所需的规则,并选择**“属性”**以打开“属性”对话框。

    3. 在“常规”****选项卡上,选中“允许连接”复选框。

    4. 在“范围”****选项卡上,从“本地子网”(默认设置)更改远程 IP 地址设置,以允许所需的特定访问。

    5. 在“高级”选项卡上,验证选择的所有配置文件是否适用于(域或专用/公用)网络。

在特定应用场景中,仅有一组有限的 TCP/IP 端口可通过硬件防火墙。管理员必须确保 WMI(依赖通过 TCP/IP 的 RPC)可通过这些类别的防火墙。在默认情况下,WMI 端口是动态分配至 1024 之上的随机端口中。以下 Microsoft 知识文章讨论了管理员如何限制动态分配端口的范围。例如,如果硬件防火墙仅允许端口特定范围中的流量,这将非常有用。

有关详细信息,请参阅如何配置与防火墙一起使用的 RPC 动态端口分配

创建 VAMT 的注册表值,以访问与工作组连接的计算机

小心  

此部分含有如何修改注册表的信息。确保在修改注册表前先备份注册表;此外,确保你知道如何在出现问题的情况下恢复注册表。有关如何备份、恢复和修改注册表的详细信息,请参阅 Windows 高级用户注册表信息

 

在客户端计算机上,使用 regedit.exe 创建以下注册表项。

  1. 导航到 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

  2. 输入以下详细信息:

    Value Name: LocalAccountTokenFilterPolicy

    Type: DWORD

    Value Data: 1

注意  

如要在工作组中发现 VAMT 可管理的 Windows 计算机,你必须启用每个客户端的网络发现功能。

 

部署选项

组织为计算机配置 WMI 防火墙例外的方法有很多种:

  • **映像。**将配置添加到部署到所有客户端的主 Windows 映像。

  • **组策略。**如果客户端是域的一部分,则可使用组策略配置所有客户端。WMI 防火墙例外的组策略设置位于 GPMC.MSC 中的以下位置:Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Inbound Rules

  • **脚本。**使用 Microsoft System Center Configuration Manager 或第三方远程脚本执行设施执行脚本。

  • **手动。**分别在每个客户端上配置 WMI 防火墙例外。

上述配置将通过目标计算机上的 Windows 防火墙打开其他端口,并且应在受网络防火墙保护的计算机上执行。要让 VAMT 查询更新许可状态,必须维护 WMI 例外。我们建议管理员在创建 WMI 例外时,请参阅其网络安全政策,并做出明确的决定。

相关主题

安装和配置 VAMT