Préparation de l'inscription en mode Push des périphériques découverts

Avant de commencer l'inscription en mode Push des périphériques Windows découverts, vous devez y activer les droits d'administration et modifier certains paramètres de pare-feu.
Ces tâches sont requises uniquement pour inscrire les appareils à distance à l'aide de la méthode d'inscription en mode Push. Vous pouvez annuler ces modifications ultérieurement, mais vous devez les appliquer à nouveau pour effectuer une autre inscription à distance.
Tâches à effectuer pour préparer les appareils Windows non gérés pour l'inscription à distance
Étape
Action
Étape 1
Activez les droits d'administrateur sur vos périphériques non gérés.
Le contrôle de compte d'utilisateur de Windows empêche les comptes administratifs locaux d'accéder à distance aux partages administratifs, tels que C$ et Admin$. Ce partage est désactivé sur tous les systèmes d'exploitation Windows ayant installés les dernières mises à jour.
Pour activer le partage d'administration (
nom_périphérique
\admin$) sur les périphériques Windows non gérés, vous devez créer une valeur dans le registre.
Si l'appareil non géré fait partie d'un domaine Active Directory, vous devez utiliser les informations d'authentification du compte administrateur du domaine pour l'inscrire à distance. Sinon, prenez les informations d'authentification administrateur disponibles pour chaque appareil non géré que vous voulez inscrire.
Étape 2
Modifiez les paramètres de pare-feu pour autoriser la communication entre les composants.
Pour inscrire un périphérique à distance et autoriser la communication entre les composants, vous devez configurer des exclusions de pare-feu pour les ports suivants :
Ports de communication
Protocole et numéro de port
Utilisé pour
Port d'écoute
TCP/IP : 445
Connexion réseau
Système
TCP/IP : 139
UDP : 137, 138
Partage de fichiers
Système
TCP/IP : 135
Remote Task Management Service
svchost.exe
Plage TCP/IP : 49154-65535
Remote Task Management Service
services.exe
Si vous ne voulez pas ouvrir une longue plage de ports TCP/IP, vous pouvez la réduire. Cependant, vous devez également limiter le nombre par défaut de ports d'appel de procédure à distance (RPC) et ajouter trois valeurs de registre dans votre politique d'objet de stratégie de groupe Active Directory.
Vous pouvez trouver plus d'informations sur les valeurs de registre dans l'article Microsoft suivant :
Si les périphériques non gérés font partie d'un domaine Active Directory, vous pouvez utiliser un objet de stratégie de groupe Active Directory pour exécuter les étapes de préparation décrites.
  1. Pour préparer les périphériques découverts pour l'inscription en mode Push à l'aide d'un objet de stratégie de groupe Active Directory :
  2. Configurez les clés de registre :
    1. Dans l'éditeur d'objet de stratégie de groupe, sélectionnez
      Préférences > Paramètres Windows > Registre
      .
    2. Ajoutez un nouvel élément de Registre.
      Pour activer le partage d'administration (
      nom_périphérique
      \admin$) sur les périphériques Windows non gérés, vous devez créer une valeur dans le registre.
      • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
      • Valeur : LocalAccountTokenFilterPolicy ; valeur 1, tapez DWORD32.
      Pour plus d'informations sur la configuration d'une clé de Registre dans une politique GPO, consultez l'article Microsoft suivant :
  3. Créez des exceptions de pare-feu :
    1. Dans l'éditeur d'objet de stratégie de groupe, sélectionnez
      Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité
      .
    2. Créez des règles d'exclusion de pare-feu pour les ports répertoriés dans le tableau ci-dessus.
      Pour plus d'informations sur la création d'exceptions de pare-feu dans une politique d'objet de stratégie de groupe, consultez l'article Microsoft suivant :