Configurer les ordinateurs clients
Pour permettre à l’outil de gestion de l’activation en volume (VAMT) de fonctionner correctement, certaines modifications de configuration sont nécessaires sur tous les ordinateurs clients :
Une exception doit être définie dans le pare-feu de l’ordinateur client.
Une clé de Registre doit être créée et définie correctement pour les ordinateurs d’un groupe de travail ; sinon, le contrôle de compte d’utilisateur Windows® n’autorise pas les opérations d’administration à distance.
Les organisations où l’outil VAMT sera largement utilisé peuvent tirer parti de ces modifications à l’intérieur de l’image principale pour Windows.
Important
Cette procédure s’applique uniquement aux clients exécutant Windows Vista ou une version ultérieure. Pour les clients exécutant Windows XP Service Pack 1, consultez Connexion via le Pare-feu Windows.
Configuration du Pare-feu Windows pour autoriser l’accès VAMT
Activez l’outil VAMT pour accéder aux ordinateurs clients à l’aide du Panneau de configuration du Pare-feu Windows :
Ouvrez le Panneau de configuration et double-cliquez sur Système et sécurité.
Sélectionnez Pare-feu Windows.
Sélectionnez Autoriser un programme ou une fonctionnalité via le Pare-feu Windows.
Sélectionnez l’option Modifier les paramètres .
Cochez la case Windows Management Instrumentation (WMI).
Sélectionnez OK.
Warning
Par défaut, les exceptions de pare-feu Windows s’appliquent uniquement au trafic provenant du sous-réseau local. Pour développer l’exception à appliquer à plusieurs sous-réseaux, vous devez modifier les paramètres d’exception dans le Pare-feu Windows avec sécurité avancée, comme décrit ci-dessous.
Configurer le Pare-feu Windows pour autoriser l’accès VAMT sur plusieurs sous-réseaux
Activez l’outil VAMT pour accéder aux ordinateurs clients sur plusieurs sous-réseaux à l’aide du Pare-feu Windows avec le Panneau de configuration de sécurité avancée :
Ouvrez le Panneau de configuration et double-cliquez sur Outils d’administration.
Sélectionnez Pare-feu Windows avec sécurité avancée.
Apportez vos modifications pour chacun des trois éléments WMI suivants, pour le profil réseau applicable (domaine, public, privé) :
Windows Management Instrumentation (ASync-In)
Windows Management Instrumentation (DCOM-In)
Windows Management Instrumentation (WMI-In)
Dans la boîte de dialogue Pare-feu Windows avec sécurité avancée , sélectionnez Règles de trafic entrant dans le volet gauche.
Cliquez avec le bouton droit sur la règle souhaitée et sélectionnez Propriétés pour ouvrir la boîte de dialogue Propriétés .
Sous l’onglet Général , cochez la case Autoriser la connexion .
Sous l’onglet Étendue , remplacez le paramètre Adresse IP distante par « Sous-réseau local » (par défaut) pour autoriser l’accès spécifique dont vous avez besoin.
Sous l’onglet Avancé , vérifiez la sélection de tous les profils applicables au réseau (domaine ou privé/public).
Dans certains scénarios, seul un ensemble limité de ports TCP/IP est autorisé via un pare-feu matériel. Les administrateurs doivent s’assurer que WMI (qui s’appuie sur RPC sur TCP/IP) est autorisé via ces types de pare-feu. Par défaut, le port WMI est un port aléatoire alloué dynamiquement au-dessus de 1024. L’article de connaissances Microsoft suivant explique comment les administrateurs peuvent limiter la plage de ports alloués dynamiquement. La limitation de la plage de ports alloués dynamiquement est utile si, par exemple, le pare-feu matériel autorise uniquement le trafic dans une certaine plage de ports.
Pour plus d’informations, consultez Guide pratique pour configurer l’allocation de ports dynamiques RPC pour utiliser des pare-feu.
Créer une valeur de Registre pour que l’outil VAMT accède à l’ordinateur joint au groupe de travail
Warning
Cette section contient des informations sur la modification du Registre. Veillez à sauvegarder le Registre avant de le modifier. en outre, vérifiez que vous savez comment restaurer le Registre, si un problème se produit. Pour plus d’informations sur la sauvegarde, la restauration et la modification du Registre, consultez Informations du Registre Windows pour les utilisateurs avancés.
Sur l’ordinateur client, créez la clé de Registre suivante à l’aide de regedit.exe.
Accédez à
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
Saisissez les informations suivantes :
- Nom de la valeur : LocalAccountTokenFilterPolicy
- Type : DWORD
- Données de valeur : 1
Remarque
Pour découvrir les ordinateurs Windows gérables PAR VAMT dans les groupes de travail, vous devez activer la découverte du réseau sur chaque client.
Options de déploiement
Il existe plusieurs options permettant aux organisations de configurer l’exception de pare-feu WMI pour les ordinateurs :
Image. Ajoutez les configurations à l’image Principale Windows déployée sur tous les clients.
Stratégie de groupe. Si les clients font partie d’un domaine, tous les clients peuvent être configurés à l’aide d’une stratégie de groupe. Le paramètre de stratégie de groupe pour l’exception de pare-feu WMI se trouve dans gpMC. MSC à l’adresse : Configuration> ordinateurParamètres Windows Paramètres>de sécurité Pare-feu>Windows avec sécurité> avancéePare-feu Windows avecrègles de trafic entrant de sécurité > avancée.
Script. Exécutez un script à l’aide de Microsoft Configuration Manager ou d’une installation d’exécution de script à distance tierce.
Manuelle. Configurez l’exception de pare-feu WMI individuellement sur chaque client.
Les configurations ci-dessus ouvrent un port supplémentaire via le Pare-feu Windows sur les ordinateurs cibles et doivent être effectuées sur les ordinateurs protégés par un pare-feu réseau. Pour permettre à VAMT d’interroger l’état des licences à jour, l’exception WMI doit être conservée. Nous recommandons aux administrateurs de consulter leurs stratégies de sécurité réseau et de prendre des décisions claires lors de la création de l’exception WMI.