Configuración de equipos cliente
Para permitir que la herramienta de administración de activación por volumen (VAMT) funcione correctamente, se requieren ciertos cambios de configuración en todos los equipos cliente:
Se debe establecer una excepción en el firewall del equipo cliente.
Se debe crear y establecer correctamente una clave del Registro para los equipos de un grupo de trabajo; De lo contrario, el Control de cuentas de usuario (UAC) de Windows® no permitirá operaciones administrativas remotas.
Las organizaciones en las que va a usarse ampliamente VAMT pueden beneficiarse de realizar estos cambios dentro de la imagen maestra para Windows.
Importante
Este procedimiento solo se aplica a los clientes que ejecutan Windows Vista o versiones posteriores. Para los clientes que ejecutan Windows XP Service Pack 1, consulte Conexión a través del firewall de Windows.
Configuración del Firewall de Windows para permitir el acceso a VAMT
Habilite VAMT para acceder a los equipos cliente mediante el Panel de control de Firewall de Windows :
Abra el Panel de control y haga doble clic en Sistema y seguridad.
Seleccione Firewall de Windows.
Seleccione Permitir un programa o una característica a través de Firewall de Windows.
Seleccione la opción Cambiar configuración .
Active la casilla Instrumental de administración de Windows (WMI).
Seleccione Aceptar.
Advertencia
De forma predeterminada, las excepciones de Firewall de Windows solo se aplican al tráfico que se origina en la subred local. Para expandir la excepción para que se aplique a varias subredes, debe cambiar la configuración de la excepción en firewall de Windows con seguridad avanzada, como se describe a continuación.
Configuración del Firewall de Windows para permitir el acceso de VAMT en varias subredes
Habilite VAMT para acceder a los equipos cliente en varias subredes mediante firewall de Windows con el Panel de control de seguridad avanzada :
Abra el Panel de control y haga doble clic en Herramientas administrativas.
Seleccione Firewall de Windows con seguridad avanzada.
Realice los cambios para cada uno de los tres elementos WMI siguientes, para el perfil de red aplicable (dominio, público y privado):
Instrumental de administración de Windows (ASync-In)
Instrumental de administración de Windows (DCOM-In)
Instrumental de administración de Windows (WMI-In)
En el cuadro de diálogo Firewall de Windows con seguridad avanzada , seleccione Reglas de entrada en el panel izquierdo.
Haga clic con el botón derecho en la regla deseada y seleccione Propiedades para abrir el cuadro de diálogo Propiedades .
En la pestaña General , active la casilla Permitir la conexión .
En la pestaña Ámbito , cambie la configuración Dirección IP remota de "Subred local" (valor predeterminado) para permitir el acceso específico que necesita.
En la pestaña Avanzadas , compruebe la selección de todos los perfiles aplicables a la red (dominio o privado/público).
En determinados escenarios, solo se permite un conjunto limitado de puertos TCP/IP a través de un firewall de hardware. Los administradores deben asegurarse de que WMI (que se basa en RPC a través de TCP/IP) se permite a través de estos tipos de firewalls. De forma predeterminada, el puerto WMI es un puerto aleatorio asignado dinámicamente por encima de 1024. En el siguiente artículo de conocimientos de Microsoft se describe cómo los administradores pueden limitar el intervalo de puertos asignados dinámicamente. Limitar el intervalo de puertos asignados dinámicamente es útil si, por ejemplo, el firewall de hardware solo permite el tráfico en un intervalo determinado de puertos.
Para obtener más información, consulte Configuración de la asignación dinámica de puertos RPC para que funcione con firewalls.
Creación de un valor del Registro para que VAMT acceda al equipo unido al grupo de trabajo
Advertencia
Esta sección contiene información sobre cómo modificar el Registro. Asegúrese de realizar una copia de seguridad del registro antes de modificarlo; además, asegúrese de que sabe cómo restaurar el registro, si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad, restaurar y modificar el Registro, vea Información del Registro de Windows para usuarios avanzados.
En el equipo cliente, cree la siguiente clave del Registro mediante regedit.exe.
Vaya a
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
Escribe lo siguiente:
- Nombre del valor: LocalAccountTokenFilterPolicy
- Tipo: DWORD
- Datos de valor: 1
Nota
Para detectar equipos Windows administrables por VAMT en grupos de trabajo, debe habilitar la detección de red en cada cliente.
Opciones de implementación
Hay varias opciones para que las organizaciones configuren la excepción de firewall wmi para equipos:
Imagen. Agregue las configuraciones a la imagen maestra de Windows implementada en todos los clientes.
Directiva de grupo. Si los clientes forman parte de un dominio, todos los clientes se pueden configurar mediante la directiva de grupo. La configuración de directiva de grupo para la excepción de firewall wmi se encuentra en GPMC. MSC en: Configuración> del equipoConfiguración de Windows Configuración>de> seguridadFirewall de Windows con firewall de Windows de seguridad> avanzada conreglas de entradade seguridad> avanzada.
Guión. Ejecute un script mediante Microsoft Configuration Manager o una instalación de ejecución remota de scripts de terceros.
Manual. Configure la excepción de firewall WMI individualmente en cada cliente.
Las configuraciones anteriores abrirán un puerto adicional a través del Firewall de Windows en los equipos de destino y se deben realizar en equipos protegidos por un firewall de red. Para permitir que VAMT consulte el estado de licencia actualizado, se debe mantener la excepción WMI. Se recomienda a los administradores consultar sus directivas de seguridad de red y tomar decisiones claras al crear la excepción WMI.