Share via

Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Después de instalar el software del servidor de MBAM 2.5, se pueden configurar las características de servidor de MBAM 2.5 mediante cmdlets de Windows PowerShell o bien con el asistente para la configuración del servidor de MBAM. En este tema se explica cómo configurar MBAM 2.5 mediante cmdlets de Windows PowerShell. Si prefiere usar el asistente, vea Configuración de las características de servidor de MBAM 2.5.

En esta tema

En este tema incluye la siguiente información sobre cómo usar Windows PowerShell para configurar MBAM:

  • Cómo cargar la ayuda de Windows PowerShell relativa a MBAM 2.5

  • Cómo obtener ayuda sobre un cmdlet de Windows PowerShell de MBAM

  • Configuraciones que se pueden hacer únicamente con Windows PowerShell, no con el asistente para la configuración del servidor de MBAM

  • Requisitos y requisitos previos para usar Windows PowerShell para configurar características del servidor de MBAM

  • Uso de Windows PowerShell para configurar MBAM en un equipo remoto

  • Cuentas necesarias y parámetros de cmdlet de Windows PowerShell correspondientes

Vea Uso de Windows PowerShell para administrar MBAM 2.5 para obtener información sobre los cmdlets Get-MbamBitLockerRecoveryKey y Get-MbamTPMOwnerPassword Windows PowerShell, que sirven para administrar MBAM.

Cómo cargar la ayuda de Windows PowerShell relativa a MBAM 2.5

Para ver una lista de los cmdlets Windows PowerShell en TechNet, vea el tema sobre automatización del paquete de optimización de escritorio Microsoft con Windows PowerShell.

Para cargar la ayuda de MBAM 2.5 para cmdlets de Windows PowerShell tras instalar el software del servidor de MBAM

  1. Abra Windows PowerShell o el Entorno de scripting integrado de Windows PowerShell (ISE).

  2. Escriba Update-Help –Module Microsoft.MBAM.

Cómo obtener ayuda sobre un cmdlet de Windows PowerShell de MBAM

La ayuda de Windows PowerShell para MBAM se encuentra disponible en los siguientes formatos:

Formato de ayuda de Windows PowerShell Más información

En un símbolo del sistema de Windows PowerShell, escriba Get-Help <cmdlet>

Para cargar los últimos cmdlets de Windows PowerShell, siga las instrucciones de la sección anterior relativas a cómo cargar la ayuda de Windows PowerShell para MBAM.

En TechNet, como páginas web

https://go.microsoft.com/fwlink/?LinkId=393498

En el Centro de descarga, como un archivo .docx de Word

https://go.microsoft.com/fwlink/?LinkId=393497

En el Centro de descarga, como un archivo .pdf

https://go.microsoft.com/fwlink/?LinkId=393499

Configuraciones que se pueden hacer únicamente con Windows PowerShell, no con el asistente para la configuración del servidor de MBAM

Configuraciones que solo se pueden hacer con Windows PowerShell Detalles

Instalar los servicios web en un equipo por separado de las aplicaciones web.

Si se usara el asistente, los servicios web y las aplicaciones web tendrían que instalarse en el mismo equipo.

Habilitar los informes en un punto de servicios de informes independiente sin instalar todos los objetos de Configuration Manager.

Eliminar todos los objetos de Configuration Manager.

Si se eliminan los objetos, también se eliminarán todos los datos de cumplimiento de Configuration Manager.

Escribir una cadena de conexión personalizada para las bases de datos.

Ejemplo: Para configurar las aplicaciones web de forma que funcionen con la creación de reflejos, se debe usar el cmdlet Enable-MbamWebApplication para especificar la sintaxis de asociado de conmutación por error pertinente en la cadena de conexión.

Omitir la validación y configurar una característica aun cuando la comprobación de requisitos previos sea errónea.

  

Nota

Las bases de datos de MBAM no se pueden deshabilitar con un cmdlet de Windows PowerShell ni con el asistente para la configuración del servidor de MBAM. Para impedir que los datos de auditoría y cumplimiento se eliminen por error, los administradores deberán quitar las bases de datos manualmente.

Requisitos y requisitos previos para usar Windows PowerShell para configurar características del servidor de MBAM

Antes de empezar a configurar, reúna los siguientes requisitos previos.

Requisitos previos de cuentas

Requisito previo Detalles o información complementaria

Crear las cuentas necesarias.

Vea la sección Cuentas necesarias y parámetros de cmdlet de Windows PowerShell correspondientes más adelante en este tema.

Los grupos y cuentas de usuario que se pasan como parámetros a los cmdlets de Windows PowerShell deben ser cuentas válidas en el dominio.

No se pueden usar cuentas locales.

Especificar cuentas en el formato de nivel inferior.

Ejemplos:

nombreNetBiosDeDominio\usuario
nombreNetBiosDeDominio\grupo

Requisitos previos de permisos

Requisito previo Detalles o información complementaria

Debe ser un administrador en el equipo local en el que se va a configurar la característica en cuestión de MBAM.

Usar un símbolo del sistema de Windows PowerShell con privilegios elevados para ejecutar todos los cmdlets de Windows PowerShell.

Solo en el caso del cmdlet Enable-MbamDatabase:

Debe tener permisos para crear cualquier base de datos en la instancia de la base de datos de Microsoft SQL Server de destino.

Esta cuenta de usuario debe formar parte del grupo de administradores locales o del grupo Operadores de copia de seguridad para registrar VSS Writer de MBAM.

El administrador de la base de datos o el administrador del sistema poseen de forma predeterminada los permisos necesarios para crear cualquier base de datos.

Para obtener más información sobre VSS Writer, vea el tema sobre el Servicio de instantáneas de volumen.

En relación con la característica Integración de System Center Configuration Manager únicamente:

El usuario que habilite esta característica debe tener los siguientes derechos en Configuration Manager:

 

Tipo de derecho en Configuration Manager Derechos necesarios

Derechos de sitio de Configuration Manager:

- Leer

Derechos de colección de Configuration Manager:

- Crear
- Eliminar
- Leer
- Modificar
- Implementar elementos de configuración

Derechos de elemento de configuración de Configuration Manager:

- Crear
- Eliminar
- Leer

Uso de Windows PowerShell para configurar MBAM en un equipo remoto

Cuándo usar esta funcionalidad

Cuando quiera configurar las características del servidor de MBAM 2.5 en un equipo remoto. Los cmdlets de Windows PowerShell se ejecutan en un equipo y las características se configuran en un equipo remoto distinto.

Qué hay que hacer

Para usar Windows PowerShell para configurar las características del servidor de MBAM 2.5 en un equipo remoto, debe hacer lo siguiente:

  • Procure que el software del servidor de MBAM 2.5 esté instalado en el equipo remoto.

  • Use el protocolo de proveedor de servicios de seguridad de credenciales (CredSSP) para abrir la sesión de Windows PowerShell.

  • Habilite Administración remota de Windows (WinRM). Si no habilita WinRM ni lo configura correctamente, el cmdlet New-PSSession descrito en esta tabla mostrará un error y le indicará cómo solucionar el problema. Para obtener más información sobre WinRM, vea el tema sobre cómo usar Administración remota de Windows.

Razones para hacerlo

Este protocolo permite que los cmdlets de Windows PowerShell se conecten a Servicios de dominio de Active Directory con las credenciales administrativas del usuario. Si la sesión de Windows PowerShell se inicia sin este protocolo, puede producirse un error de validación.

Cómo iniciar una sesión de Windows PowerShell con el protocolo CredSSP

Escriba el siguiente código en el símbolo del sistema de Windows PowerShell:

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

El siguiente código se muestra a modo de ejemplo.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Cuentas necesarias y parámetros de cmdlet de Windows PowerShell correspondientes

En la siguiente tabla se recogen las cuentas que se necesitan para configurar las características del servidor de MBAM 2.5. En ella también se muestran el cmdlet de Windows PowerShell y el parámetro correspondientes para los que es necesario especificar la cuenta durante la configuración.

Cmdlet Parámetro Tipo (usuario o grupo) Descripción

Enable-MBAMDatabase

AccessAccount

Usuario o grupo

Especifique un usuario o grupo de dominio con permiso de lectura/escritura en esta base de datos para conceder acceso a las aplicaciones web a los datos e informes en esta base de datos. Si el valor es un usuario de dominio, el parámetro WebServiceApplicationPoolCredential que se use al ejecutar el cmdlet Enable-MbamWebApplication deberá usar la misma cuenta de usuario. Si el valor es un grupo de usuarios de dominio, la cuenta de dominio que use el parámetro WebServiceApplicationPoolCredential deberá pertenecer a dicho grupo.

ReportAccount

Usuario o grupo

Especifique un usuario o grupo de usuarios de dominio con permiso de solo lectura en esta base de datos para proporcionar a los informes de MBAM acceso a los datos de cumplimiento y auditoría. Si el valor es un usuario de dominio, el parámetro ComplianceAndAuditDBCredential del cmdlet Enable-MbamReport deberá usar la misma cuenta de usuario. Si el valor es un grupo de usuarios de dominio, la cuenta de dominio que use el parámetro ComplianceAndAuditDBCredential deberá pertenecer a dicho grupo.

Enable-MbamReport

ComplianceAndAuditDBCredential

Usuario

Especifica la credencial administrativa que la instancia de SSRS local usa para conectarse a la base de datos de auditoría y cumplimiento de MBAM. El usuario de dominio de la credencial administrativa debe ser el mismo que la cuenta de usuario que se use en el parámetro ReportAccount, que se utiliza cuando se ejecuta el cmdlet Enable-MbamDatabase. Si se usó un grupo de usuarios de dominio con el parámetro ReportAccount, esta cuenta deberá pertenecer a dicho grupo.

ImportantImportante
La cuenta especificada en las credenciales administrativas debe tener derechos de usuario limitados para una mejor seguridad. De igual modo, la contraseña de la cuenta debe estar configurada para que no expire.

ReportsReadOnlyAccessGroup

Grupo

Especifica el grupo de usuarios de dominio con permisos de lectura en los informes. El grupo especificado debe ser el mismo que se ha usado en el parámetro ReportsReadOnlyAccessGroup del cmdlet Enable-MbamWebApplication.

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Grupo

Especifica el grupo de usuarios del dominio con acceso a todas las áreas del sitio web de Administration and Monitoring, salvo el área de informes.

HelpdeskAccessGroup

Grupo

Especifica el grupo de usuarios del dominio con acceso a las áreas de administración de TPM y de recuperación de unidad del sitio web de Administration and Monitoring.

ReportsReadOnlyAccessGroup

Grupo

Especifica el grupo de usuarios del dominio con permiso de lectura en el área de informes del sitio web de Administration and Monitoring. El grupo especificado debe ser el mismo que se ha usado en el parámetro ReportsReadOnlyAccessGroup del cmdlet Enable-MbamReport.

WebServiceApplicationPoolCredential

Usuario

Especifica el usuario de dominio que el grupo de aplicaciones va a usar para las aplicaciones web de MBAM. Debe ser la misma cuenta de usuario de dominio que la especificada en el parámetro AccessAccount del cmdlet Enable-MbamDatabase. Si el parámetro AccessAccount usó un grupo de usuarios de dominio al ejecutar el cmdlet Enable-MbamDatabase, el usuario del dominio que se especifique aquí deberá pertenecer a dicho grupo. Si no se indican credenciales administrativas, se usarán las que especificó cualquiera de las aplicaciones web habilitadas previamente. Todas las aplicaciones web utilizan la misma identidad de grupo de aplicaciones. Si se especifica varias veces, se usará el valor introducido más recientemente.

ImportantImportante
Para una mejor seguridad, configure la cuenta especificada en las credenciales administrativas de forma que tenga derechos de usuario limitados. Además, debe configurar la contraseña de la cuenta de forma que no expire nunca. Asegúrese de que la cuenta integrada IIS_IUSRS o la cuenta utilizada en el parámetro WebServiceApplicationPoolCredential se ha agregado a la configuración de seguridad local Suplantar a un cliente tras la autenticación.

Para ver la configuración de seguridad local, abra el editor Directiva de seguridad local, expanda el nodo Directivas locales, seleccione el nodo Asignación de derechos de usuario y, luego, haga doble clic en la configuración de directivas de grupo Suplantar a un cliente tras la autenticación e Iniciar sesión como un trabajo por lotes en el panel de detalles.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Conceptos

Validación de la configuración de las características de servidor de MBAM 2.5
Uso de Windows PowerShell para administrar MBAM 2.5

Otros recursos

Configuración de las características de servidor de MBAM 2.5