Planeación de grupos y cuentas de MBAM 2.5

Artículo
11/17/2015

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En este tema se indican los roles y las cuentas que se deben crear en Servicios de dominio de Active Directory (AD DS) para proporcionar seguridad y derechos de acceso a las bases de datos, informes y aplicaciones web de Microsoft BitLocker Administration and Monitoring (MBAM). Por cada rol y cuenta se proporciona el campo correspondiente en el Asistente para la configuración del servidor de MBAM. Consulte la lista de cmdlets de Windows PowerShell y los parámetros que se corresponden con estas cuentas en Required accounts and corresponding Windows PowerShell cmdlet parameters.

Nota

MBAM no admite el uso de cuentas de servicio administradas.

Cuentas de base de datos

Cree las cuentas siguientes para la base de datos de cumplimiento y auditoría y la base de datos de recuperación.

Nombre de la cuenta y objetivo	Tipo de cuenta	El campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta	Descripción del campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta
El usuario o grupo para informes con permiso de lectura y escritura en la base de datos de cumplimiento y auditoría y en la base de datos de recuperación	Usuario o grupo	Usuario o grupo de dominio con acceso de lectura y escritura	Usuario o grupo del dominio con acceso de lectura y escritura en la base de datos de cumplimiento y auditoría, y en la base de datos de recuperación, para permitir que las aplicaciones web puedan obtener acceso a los datos y a los informes contenidos en estas bases de datos. Si escribe un nombre de usuario en este campo, este deberá coincidir con el mismo valor que aparece en el campo Cuenta de dominio del grupo de aplicaciones del servicio web en la página Configurar aplicaciones web. Si escribe el nombre de un grupo en este campo, el grupo que se indique en el campo Cuenta de dominio del grupo de aplicaciones del servicio web en la página Configurar aplicaciones web debe ser miembro del grupo que escriba en este campo.
Usuario o grupo para informes con permiso de solo lectura en la base de datos de cumplimiento y auditoría	Usuario o grupo	Usuario o grupo de dominio con acceso de solo lectura	El nombre del usuario o grupo que tendrá permiso de solo lectura en la base de datos de cumplimiento y auditoría para permitir que los informes puedan obtener acceso a los datos de cumplimiento contenidos en esta base de datos. Si escribe un nombre de usuario en este campo, este debe coincidir con el usuario que especifique en el campo Cuenta de dominio de la base de datos de cumplimiento y auditoría en la página Configurar informes. Si escribe un nombre de grupo en este campo, el valor que especifique en el campo Cuenta de dominio de la base de datos de cumplimiento y auditoría en la página Configurar informes debe ser un miembro del grupo que especifique en este campo.

Nombre de la cuenta y objetivo

Tipo de cuenta

El campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta

Descripción del campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta

El usuario o grupo para informes con permiso de lectura y escritura en la base de datos de cumplimiento y auditoría y en la base de datos de recuperación

Usuario o grupo

Usuario o grupo de dominio con acceso de lectura y escritura

Usuario o grupo del dominio con acceso de lectura y escritura en la base de datos de cumplimiento y auditoría, y en la base de datos de recuperación, para permitir que las aplicaciones web puedan obtener acceso a los datos y a los informes contenidos en estas bases de datos.

Si escribe un nombre de usuario en este campo, este deberá coincidir con el mismo valor que aparece en el campo Cuenta de dominio del grupo de aplicaciones del servicio web en la página Configurar aplicaciones web.

Si escribe el nombre de un grupo en este campo, el grupo que se indique en el campo Cuenta de dominio del grupo de aplicaciones del servicio web en la página Configurar aplicaciones web debe ser miembro del grupo que escriba en este campo.

Usuario o grupo para informes con permiso de solo lectura en la base de datos de cumplimiento y auditoría

Usuario o grupo

Usuario o grupo de dominio con acceso de solo lectura

El nombre del usuario o grupo que tendrá permiso de solo lectura en la base de datos de cumplimiento y auditoría para permitir que los informes puedan obtener acceso a los datos de cumplimiento contenidos en esta base de datos.

Si escribe un nombre de usuario en este campo, este debe coincidir con el usuario que especifique en el campo Cuenta de dominio de la base de datos de cumplimiento y auditoría en la página Configurar informes.

Si escribe un nombre de grupo en este campo, el valor que especifique en el campo Cuenta de dominio de la base de datos de cumplimiento y auditoría en la página Configurar informes debe ser un miembro del grupo que especifique en este campo.

Cuentas de informes

Cree las cuentas siguientes para la característica de informes.

Nombre de la cuenta y objetivo	Tipo de cuenta	El campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta	Descripción del campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta
Grupo de acceso de dominio con permiso de solo lectura a informes	Grupo	Grupo de dominio del rol de informes	Nombre del grupo de dominio cuyos miembros tienen acceso de solo lectura a los informes en el sitio web de Administration and Monitoring.
Cuenta de usuario de dominio de la base de datos de cumplimiento y auditoría	Usuario	Cuenta de dominio de la base de datos de cumplimiento y auditoría	La cuenta y la contraseña del usuario del dominio que usa la instancia local de SQL Server Reporting Services para obtener acceso a la base de datos de cumplimiento y auditoría. Esta cuenta necesita derechos para Iniciar sesión como proceso por lotes en el servidor de SQL Server Reporting Services. Si el valor que escribe en el campo Usuario o grupo de dominio con acceso de solo lectura en la página Configurar bases de datos es el nombre de un usuario, deberá escribir el mismo valor en este campo. Si el valor que escribe en el campo Usuario o grupo de dominio con acceso de solo lectura en la página Configurar bases de datos es el nombre de un grupo, el valor que escriba en este campo debe ser un miembro de dicho grupo. Configure que la contraseña de esta cuenta no expire nunca. La cuenta de usuario debe tener acceso a todos los datos disponibles para el grupo Usuarios de informes de MBAM.

Nombre de la cuenta y objetivo

Tipo de cuenta

El campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta

Descripción del campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta

Grupo de acceso de dominio con permiso de solo lectura a informes

Grupo

Grupo de dominio del rol de informes

Nombre del grupo de dominio cuyos miembros tienen acceso de solo lectura a los informes en el sitio web de Administration and Monitoring.

Cuenta de usuario de dominio de la base de datos de cumplimiento y auditoría

Usuario

Cuenta de dominio de la base de datos de cumplimiento y auditoría

La cuenta y la contraseña del usuario del dominio que usa la instancia local de SQL Server Reporting Services para obtener acceso a la base de datos de cumplimiento y auditoría. Esta cuenta necesita derechos para Iniciar sesión como proceso por lotes en el servidor de SQL Server Reporting Services.

Si el valor que escribe en el campo Usuario o grupo de dominio con acceso de solo lectura en la página Configurar bases de datos es el nombre de un usuario, deberá escribir el mismo valor en este campo.

Si el valor que escribe en el campo Usuario o grupo de dominio con acceso de solo lectura en la página Configurar bases de datos es el nombre de un grupo, el valor que escriba en este campo debe ser un miembro de dicho grupo.

Configure que la contraseña de esta cuenta no expire nunca. La cuenta de usuario debe tener acceso a todos los datos disponibles para el grupo Usuarios de informes de MBAM.

Cuentas del sitio web de Administration and Monitoring (departamento de soporte técnico)

Cree las cuentas siguientes para el sitio web de Administration and Monitoring.

Nombre de la cuenta y objetivo	Tipo de cuenta	El campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta	Descripción del campo del Asistente para la configuración del servidor de MBAM que se corresponde con esta cuenta
Cuenta de dominio del grupo de aplicaciones del servicio web	Usuario	Cuenta de dominio del grupo de aplicaciones del servicio web	La cuenta de usuario de dominio que usará el grupo de aplicaciones para las aplicaciones web. Si especifica un nombre de usuario en el campo de Grupo o usuario de dominio de acceso de lectura/escritura de la página Configurar bases de datos, debe especificar el mismo valor en este campo. Si especifica un nombre de grupo en el campo de Grupo o usuario de dominio de acceso de lectura/escritura de la página Configurar bases de datos, el valor que especifique en este campo debe ser miembro de ese grupo. Si no especifica credenciales, se usarán las credenciales que se especificaron para cualquier aplicación web que se haya habilitado anteriormente. Todas las aplicaciones web deben usar las mismas credenciales de grupo de aplicaciones. Si especifica credenciales distintas para distintas aplicaciones web, se usará el valor especificado más recientemente. Importante Para aumentar la seguridad, configure la cuenta especificada en las credenciales de forma que tenga derechos de usuario limitados.
Grupo de acceso Usuarios de soporte técnico avanzado de MBAM	Grupo	Usuarios de soporte técnico avanzado de MBAM	Grupo de usuarios de dominio cuyos miembros tienen acceso a todas las áreas de recuperación del sitio web de Administration and Monitoring. Los usuarios que tengan este rol solo tendrán que proporcionar la clave de recuperación (en lugar del nombre de usuario y el dominio del usuario final) cuando ayuden a usuarios finales a recuperar unidades. Si un usuario es miembro de los grupos Usuarios de soporte técnico de MBAM y Usuarios de soporte técnico avanzado de MBAM, los permisos del grupo Usuarios de soporte técnico avanzado de MBAM reemplazan a los permisos del grupo Usuarios de soporte técnico de MBAM.
Grupo de acceso Usuarios de soporte técnico de MBAM	Grupo	Usuarios de soporte técnico de MBAM	El grupo de usuarios de dominio cuyos miembros tienen acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web de Administration and Monitoring de MBAM. Los usuarios que tengan este rol deberán rellenar todos los campos, incluidos el dominio y el nombre de la cuenta del usuario final, cuando usen una de las dos opciones. Si un usuario es miembro de los grupos Usuarios de soporte técnico de MBAM y Usuarios de soporte técnico avanzado de MBAM, los permisos del grupo Usuarios de soporte técnico avanzado de MBAM reemplazan a los permisos del grupo Usuarios de soporte técnico de MBAM.
Grupo de acceso Usuarios de informes de MBAM	Grupo	Usuarios de informes de MBAM	Grupo de usuarios de dominio cuyos miembros tienen acceso de solo lectura al área de informes del sitio web de Administration and Monitoring.
MBAM Grupo de usuarios de migración de datos	Grupo	MBAM Usuarios de migración de datos	Grupo de usuarios de dominio opcional cuyos miembros tienen permisos para escribir datos en MBAM con el Servicio de recuperación y hardware de MBAM que se ejecuta en el servidor de MBAM. Esta cuenta se suele usar con los cmdlets Write-Mbam* para escribir datos de TPM y de recuperación de Active Directory en la base de datos de MBAM. Para obtener más información, consulte Consideraciones sobre seguridad de MBAM 2.5.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Otros recursos

Preparación del entorno para MBAM 2.5
Requisitos previos de implementación de MBAM 2.5