Share via

Konfigurieren von MBAM 2.5-Serverfunktionen mit Windows PowerShell

  • Artikel

Letzte Aktualisierung: Oktober 2014

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Wenn Sie die MBAM 2,5-Serversoftware installiert haben, können Sie MBAM 2,5-Serverfunktionen mit Windows PowerShell-Cmdlets oder dem Konfigurations-Assistenten für MBAM-Server konfigurieren. In diesem Thema erfahren Sie, wie Sie MBAM 2,5 mit Windows PowerShell-Cmdlets konfigurieren können. Wenn Sie stattdessen den Assistenten verwenden möchten, finden Sie dazu Informationen unter Konfigurieren der Serverfunktionen von MBAM 2.5.

Inhalt dieses Themas

Dieses Thema umfasst die folgenden Informationen zur Verwendung von Windows PowerShell zur Konfiguration von MBAM:

  • Gewusst wie: Laden der Windows PowerShell-Hilfe für MBAM 2.5

  • Gewusst wie: Abrufen der Hilfe zu einem MBAM-Windows PowerShell-Cmdlet

  • Konfigurationen, die nur mit Windows PowerShell, jedoch nicht mit dem Konfigurations-Assistenten für MBAM-Server vorgenommen werden können

  • Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zur Konfiguration von MBAM-Serverfunktionen

  • Verwenden von Windows PowerShell zur Konfiguration von MBAM auf einem Remotecomputer

  • Erforderliche Konten und zugehörige Windows PowerShell-Cmdletparameter

Informationen zu den Windows PowerShell-Cmdlets Get-MbamBitLockerRecoveryKey und Get-MbamTPMOwnerPassword, die zur Verwaltung von MBAM verwendet werden, finden Sie unter Verwalten von MBAM 2.5 mit Windows PowerShell.

Gewusst wie: Laden der Windows PowerShell-Hilfe für MBAM 2.5

Eine Liste der Windows PowerShell-Cmdlets auf TechNet finden Sie unter Microsoft Desktop Optimization Pack Automation with Windows PowerShell.

So laden Sie die MBAM 2,5-Hilfe für Windows PowerShell-Cmdlets nach Installation der MBAM-Serversoftware

  1. Öffnen Sie Windows PowerShell oder Windows PowerShell Integrated Scripting Environment (ISE).

  2. Geben Sie Update-Help –Module Microsoft.MBAM ein.

Gewusst wie: Abrufen der Hilfe zu einem MBAM-Windows PowerShell-Cmdlet

Die Windows PowerShell-Hilfe für MBAM ist in folgenden Formaten verfügbar:

Windows PowerShell-Hilfeformat Weitere Informationen

Geben Sie in einem Windows PowerShell-Eingabeaufforderungsfenster Get-Help <cmdlet> ein.

Um die neuesten Windows PowerShell-Cmdlets hochzuladen, folgen Sie den Anweisungen im vorherigen Abschnitt zum Laden der Windows PowerShell-Hilfe für MBAM.

Auf TechNet als Websites

https://technet.microsoft.com/de-de/library/dn720418.aspx

Im Download Center als Word-Datei im Format .docx (in englischer Sprache)

https://go.microsoft.com/fwlink/?LinkId=393497

Im Download Center als PDF-Datei (in englischer Sprache)

https://go.microsoft.com/fwlink/?LinkId=393499

Konfigurationen, die nur mit Windows PowerShell, jedoch nicht mit dem Konfigurations-Assistenten für MBAM-Server vorgenommen werden können

Konfigurationen, die nur mit Windows PowerShellmöglich sind Details

Installieren der Webdienste und Webanwendungen auf unterschiedlichen Computern

Wenn Sie den Assistenten verwenden, müssen Sie Webdienste und Webanwendungen auf demselben Computer installieren.

Aktivieren von Berichten an einem separaten Reporting Services-Punkt ohne Installation aller Configuration Manager-Objekte

Löschen aller Configuration Manager-Objekte

Werden die Objekte gelöscht, werden alle Konformitätsdaten vom Configuration Manager gelöscht.

Eingeben einer benutzerdefinierten Verbindungszeichenfolge für die Datenbanken

Beispiel: Um die Webanwendungen so zu konfigurieren, dass sie mit Spiegelung arbeiten, müssen Sie das Cmdlet Enable-MbamWebApplication verwenden. Damit geben Sie in der Verbindungszeichenfolge die passende Failoverpartnersyntax an.

Überspringen der Überprüfung und Konfigurieren einer Funktion, auch wenn die Überprüfung der Voraussetzungen fehlgeschlagen ist

  

Hinweis

Sie können die MBAM-Datenbanken mit einem Windows PowerShell-Cmdlet oder dem Konfigurationsassistenten für MBAM-Server nicht deaktivieren. Datenbankadministratoren müssen Datenbanken manuell entfernen, um zu verhindern, dass Konformitäts- und Überwachungsdaten unabsichtlich gelöscht werden.

Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zur Konfiguration von MBAM-Serverfunktionen

Schaffen Sie folgende Voraussetzungen, bevor Sie mit der Konfiguration beginnen.

Kontobezogene Voraussetzungen

Voraussetzung Details oder zusätzliche Informationen

Erstellen Sie die erforderlichen Konten.

Informationen hierzu finden Sie nachfolgend in diesem Thema im Abschnitt Erforderliche Konten und zugehörige Windows PowerShell-Cmdletparameter.

Benutzerkonten und Gruppen, die Sie als Parameter der Windows PowerShell-Cmdlets übermitteln, müssen gültige Konten unter der Domäne sein.

Sie können keine lokalen Konten verwenden.

Geben Sie Konten im Downlevelformat an.

Beispiele:

domainNetBiosName\Benutzer
domainNetBiosName\Gruppe

Berechtigungsbezogene Voraussetzungen

Voraussetzung Details oder zusätzliche Informationen

Sie müssen für den lokalen Computer Administratorrechte besitzen, wenn Sie die MBAM-Funktion konfigurieren.

Verwenden Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten, um alle Windows PowerShell-Cmdlets auszuführen.

Nur für das Cmdlet Enable-MbamDatabase:

Sie müssen über die Berechtigungen für "Beliebige Datenbank erstellen" in der Instanz der Microsoft SQL Server-Zieldatenbank verfügen.

Dieses Benutzerkonto muss Teil der lokalen Gruppe "Administratoren" oder der Gruppe "Sicherungsoperatoren" sein, um den MBAM Volumeschattenkopie-Dienst (VSS)-Writer registrieren zu können.

Standardmäßig verfügt der Datenbankadministrator oder der Systemadministrator über die erforderlichen Berechtigungen für "Beliebige Datenbank erstellen".

Weitere Informationen zum VSS-Writer finden Sie unter Volume Shadow Copy Service.

Nur für die Funktion System Center Configuration Manager-Integration:

Der Benutzer, der diese Funktion aktiviert, muss über folgende Rechte im Configuration Manager verfügen:

 

Rechtetyp im Configuration Manager Erforderliche Rechte

Configuration Manager-Standortrechte:

- Lesen

Configuration Manager-Sammlungsrechte:

- Erstellen
- Löschen
- Lesen
- Ändern
- Konfigurationsobjekte bereitstellen

Configuration Manager-Rechte der Konfigurationsobjekte:

- Erstellen
- Löschen
- Lesen

Verwenden von Windows PowerShell zur Konfiguration von MBAM auf einem Remotecomputer

Verwendungszweck dieser Funktion

Konfiguration der MBAM 2,5-Serverfunktionen auf einem Remotecomputer Die Windows PowerShell-Cmdlets werden auf einem Computer ausgeführt, und Sie konfigurieren die Funktionen auf einem anderen Computer (einem Remotecomputer).

Vorgehensweise

Wenn Sie Windows PowerShell verwenden möchten, um MBAM 2,5-Serverfunktionen auf einem Remotecomputer zu konfigurieren, ist Folgendes erforderlich:

  • Stellen Sie sicher, dass die MBAM 2,5-Serversoftware auf dem Remotecomputer installiert wurde.

  • Verwenden Sie das Credential Security Support Provider (CredSSP)-Protokoll, um die Windows PowerShell-Sitzung zu öffnen.

  • Aktivieren Sie Windows-Remoteverwaltung (WinRM). Wenn Sie WinRM nicht aktivieren und keine korrekte Konfiguration ausführen können, zeigt das New-PSSession-Cmdlet, das in dieser Tabelle beschrieben wird, einen Fehler an und liefert eine Anleitung zur Behebung des Problems. Weitere Informationen zu WinRM finden Sie unter Using Windows Remote Management.

Begründung

Mit diesem Protokoll können die Windows PowerShell-Cmdlets eine Verbindung zu Active Directory-Domänendiensten herstellen, indem sie die Administratoranmeldeinformationen des Benutzers verwenden. Möglicherweise wird ein Überprüfungsfehler angezeigt, wenn Sie die Windows PowerShell-Sitzung ohne dieses Protokoll starten.

Gewusst wie: Starten einer Windows PowerShell-Sitzung mit dem CredSSP-Protokoll

Geben Sie den folgenden Code in die Windows PowerShell-Eingabeaufforderung ein:

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

Der folgende Code zeigt ein Beispiel.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Erforderliche Konten und zugehörige Windows PowerShell-Cmdletparameter

In der folgenden Tabelle werden die Konten beschrieben, die für die Konfiguration von MBAM 2,5-Serverfunktionen erforderlich sind. Außerdem werden die zugehörigen Windows PowerShell-Cmdlets und Parameter aufgelistet, für die Sie das Konto während der Konfiguration festlegen müssen.

Cmdlet Parameter Typ (Benutzer oder Gruppe) Beschreibung

Enable-MBAMDatabase

AccessAccount

Benutzer oder Gruppe

Geben Sie einen Domänenbenutzer oder eine Gruppe an, der/die über Lese-/Schreibzugriff für diese Datenbank verfügt, um den Webanwendungen Zugriff auf Daten und Berichte in dieser Datenbank zu gewähren. Wenn der Wert ein Domänenbenutzer ist, dann muss der Parameter WebServiceApplicationPoolCredential, der während der Ausführung des Cmdlets Enable-MbamWebApplication verwendet wird, dasselbe Benutzerkonto verwenden. Wenn der Wert eine Domänenbenutzergruppe ist, dann muss das Domänenkonto, das vom Parameter WebServiceApplicationPoolCredential verwendet wird, ein Mitglied dieser Gruppe sein.

ReportAccount

Benutzer oder Gruppe

Geben Sie einen Domänenbenutzer oder eine Benutzergruppe an, die nur über Lesezugriff für diese Datenbank verfügt, um den MBAM-Berichten Zugriff auf Konformitäts- und Überwachungsdaten zu gewähren. Wenn der Wert ein Domänenbenutzer ist, dann muss der Parameter ComplianceAndAuditDBCredential des Cmdlets Enable-MbamReport dasselbe Benutzerkonto verwenden. Wenn der Wert eine Domänenbenutzergruppe ist, dann muss das Domänenkonto, das vom Parameter ComplianceAndAuditDBCredential verwendet wird, ein Mitglied dieser Gruppe sein.

Enable-MbamReport

ComplianceAndAuditDBCredential

Benutzer

Dies gibt die Administratoranmeldeinformationen an, welche die lokale SSRS-Instanz verwendet, um eine Verbindung zur MBAM-Konformitäts- und Überwachungsdatenbank herzustellen. Der Domänenbenutzer in den Administratoranmeldeinformationen muss derselbe sein wie das Benutzerkonto, das für den Parameter ReportAccount verwendet wird, der benutzt wird, wenn das Cmdlet Enable-MbamDatabase ausgeführt wird. Wenn eine Domänenbenutzergruppe mit dem Parameter ReportAccount verwendet wurde, sollte dieses Konto Mitglied dieser Gruppe sein.

ImportantWichtig
Das Konto, das in den Administratoranmeldeinformationen angegeben wurde, sollte zur Verbesserung der Sicherheit nur über eingeschränkte Benutzerrechte verfügen. Außerdem sollte das Kennwort für dieses Konto so konfiguriert sein, dass es nicht abläuft.

ReportsReadOnlyAccessGroup

Gruppe

Dies gibt die Domänenbenutzergruppe an, die über Leserechte für die Berichte verfügt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter ReportsReadOnlyAccessGroup im Cmdlet Enable-MbamWebApplication verwendet wird.

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Gruppe

Dies gibt die Domänenbenutzergruppe an, die Zugriff auf sämtliche Bereiche der Administration and Monitoring-Website besitzt, abgesehen vom Berichtsbereich.

HelpdeskAccessGroup

Gruppe

Dies gibt die Domänenbenutzergruppe an, die Zugriff auf die Bereiche TPM verwalten und Laufwerkswiederherstellung der Administration and Monitoring-Website besitzt.

ReportsReadOnlyAccessGroup

Gruppe

Dies gibt die Domänenbenutzergruppe an, die Lesezugriff auf den Bereich Berichte der Administration and Monitoring-Website besitzt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter ReportsReadOnlyAccessGroup im Cmdlet Enable-MbamReport verwendet wird.

WebServiceApplicationPoolCredential

Benutzer

Dies gibt den Domänenbenutzer an, der vom Anwendungspool für die MBAM-Webanwendungen verwendet wird. Es muss dasselbe Domänenbenutzerkonto sein, das im Parameter AccessAccount des Cmdlets Enable-MbamDatabase festgelegt ist. Wenn eine Domänenbenutzergruppe vom Parameter AccessAccount während der Ausführung des Cmdlets Enable-MbamDatabase verwendet wurde, muss der hier angegebene Domänenbenutzer Mitglied dieser Gruppe sein. Wenn Sie die Administratoranmeldeinformationen nicht angeben, werden die Administratoranmeldeinformationen verwendet, die bei einer beliebigen zuvor aktivierten Webanwendung verwendet wurden. Alle Webanwendungen verwenden dieselbe Anwendungspoolidentität. Wenn diese mehrfach angegeben ist, wird der zuletzt angegebene Wert verwendet.

ImportantWichtig
Sie können die Sicherheit verbessern, indem Sie dem Konto, das in den Administratoranmeldeinformationen angegeben wurde, nur eingeschränkte Benutzerrechte gewähren. Konfigurieren Sie außerdem das Kennwort für dieses Konto so, dass es nicht abläuft. Stellen Sie sicher, dass entweder das integrierte IIS_IUSRS-Konto oder das Konto, das für den Parameter WebServiceApplicationPoolCredential verwendet wird, zur lokalen Sicherheitseinstellung Annehmen der Clientidentität nach Authentifizierung hinzugefügt wurde.

Um die lokale Sicherheitseinstellung anzuzeigen, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten Lokale Richtlinien, wählen Sie den Knoten Zuweisen von Benutzerrechten aus, und doppelklicken Sie dann im Bereich "Details" auf die Gruppenrichtlinieneinstellungen Annehmen der Clientidentität nach Authentifizierung und Als Batchauftrag anmelden.

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Konzepte

Überprüfen der Konfiguration der MBAM 2.5-Serverfunktionen
Verwalten von MBAM 2.5 mit Windows PowerShell

Weitere Ressourcen

Konfigurieren der Serverfunktionen von MBAM 2.5