Como preparar dispositivos descobertos para o registro por envio

Antes de começar o registro por envio para dispositivos Windows descobertos, você deverá ativar os direitos administrativos nos dispositivos e modificar algumas configurações de firewall.
Essas tarefas são necessárias somente para registrar os dispositivos remotamente usando o método de registro por envio. Você pode reverter essas alterações posteriormente, mas deve aplicá-las novamente para executar outro registro remoto.
Tarefas para preparar dispositivos Windows não gerenciados para registro remoto
Etapa
Ação
Etapa 1
Ative os direitos administrativos em seus dispositivos não gerenciados
O UAC (User Account Control - Controle de Conta de Usuário) do Windows impede contas administrativas locais de acessar remotamente compartilhamentos administrativos remotos, como C$ e Admin$. Esse compartilhamento está desativado em todos os sistemas operacionais Windows nos quais as atualizações mais recentes estão instaladas.
Para ativar o compartilhamento administrativo (
devicename
\admin$) em dispositivos Windows não gerenciados, você deve criar um valor no registro.
Se o dispositivo não gerenciado for parte de um domínio do Active Directory, você deverá usar as credenciais de conta de administrador de domínio para um registro remoto. Caso contrário, tenha as credenciais de administrador disponíveis para cada dispositivo não gerenciado que você deseja registrar.
Etapa 2
Modifique as configurações de firewall para permitir a comunicação entre os componentes.
Para o registro do dispositivo remoto e para ativar a comunicação entre os componentes, você precisará configurar a exclusão de firewall para as seguintes portas:
Portas de comunicação
Número da porta e protocolo
Usado para
Processo de escuta
TCP/IP: 445
Logon de rede
Sistema
TCP/IP: 139
UDP: 137, 138
Compartilhamento de arquivos
Sistema
TCP/IP: 135
Serviço remoto de gerenciamento de tarefas
svchost.exe
Intervalo de TCP/IP: 49154-65535
Serviço remoto de gerenciamento de tarefas
services.exe
Você poderá reduzir esse intervalo de portas, caso não deseje abrir uma grande variedade de portas TCP/IP. No entanto, você também deve limitar o número padrão de portas RPC (Remote Procedure Call - Chamada de Procedimento Remoto) e adicionar três valores de registro na política de GPO do Active Directory.
Você pode encontrar mais informações sobre os valores do registro no seguinte artigo da Microsoft:
Se os dispositivos não gerenciados fizerem parte de um domínio do Active Directory, você poderá usar um GPO (Group Policy Object - Objeto de Política de Grupo) do Active Directory para executar as etapas de preparação descritas.
  1. Como preparar os dispositivos descobertos para o registro por envio usando um GPO do Active Directory
  2. Configure as chaves do registro:
    1. No Editor de Objeto de Política de Grupo, acesse
      Preferências > Configurações do Windows > Registro
      .
    2. Adicione um novo item de registro.
      Para ativar o compartilhamento administrativo (
      devicename
      \admin$) em dispositivos Windows não gerenciados, você deve criar um valor no registro.
      • Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
      • Valor: LocalAccountTokenFilterPolicy, valor 1, tipo DWORD32
      Para obter mais informações sobre como configurar uma chave de registro em uma política de GPO, consulte o seguinte artigo da Microsoft:
  3. Criar exceções de firewall:
    1. No Editor de Objeto de Política de Grupo, acesse
      Configurações de segurança > Firewall do Windows com Segurança Avançada
      .
    2. Crie regras de exclusão de firewall para as portas listadas na tabela acima.
      Para obter mais informações sobre a criação de exceções de firewall em uma política de GPO, consulte o seguinte artigo da Microsoft