Planen der Gruppen und Konten für MBAM 2.5

Artikel
11/17/2015

Letzte Aktualisierung: Mai 2014

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

In diesem Thema werden die Rollen und Konten aufgelistet, die Sie in Active Directory-Domänendiensten (AD DS) erstellen müssen, um Sicherheit und Zugriffsrechte für die Microsoft BitLocker Administration and Monitoring (MBAM)-Datenbanken, -Berichte und -Webanwendungen zu bieten. Für jede Rolle und jedes Konto wird das entsprechende Feld im MBAM-Serverkonfigurationsassistenten angegeben. Eine Liste der Windows PowerShell-Cmdlets und Parameter, die diesen Konten entsprechen, finden Sie unter Required accounts and corresponding Windows PowerShell cmdlet parameters.

Hinweis

MBAM unterstützt nicht die Verwendung von verwalteten Dienstkonten.

Datenbankkonten

Erstellen Sie die folgenden Konten für die Konformitäts- und Überwachungsdatenbank sowie die Wiederherstellungsdatenbank.

Kontoname und Zweck	Kontotyp	Feld des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.	Beschreibung des Felds des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.
Konformitäts- und Überwachungsdatenbank sowie Wiederherstellungsdatenbank – Lese-/Schreibbenutzer oder -gruppe für Berichte	Benutzer oder Gruppe	Read/write access domain user or group	Domänenbenutzer oder -gruppe mit Lese-/Schreibberechtigungen für die Konformitäts- und Überwachungsdatenbank sowie die Wiederherstellungsdatenbank, damit Webanwendungen auf die Daten und Berichte in dieser Datenbank zugreifen können. Wenn Sie einen Benutzer in dieses Feld eingeben, muss es sich um denselben Wert wie im Feld Web service application pool domain account auf der Seite Configure Web Applications handeln. Wenn Sie in diesem Feld einen Gruppennamen eingeben, muss der Wert im Feld Web service application pool domain account auf der Seite Configure Web Applications ein Mitglied der Gruppe sein, die Sie in diesem Feld eingeben.
Konformitäts- und Überwachungsdatenbank – Lesebenutzer oder -gruppe für Berichte	Benutzer oder Gruppe	Read-only access domain user or group	Name des Benutzers oder der Gruppe mit Leseberechtigung zur Konformitäts- und Überwachungsdatenbank, damit über Berichte auf die Konformitäts- und Überwachungsdaten in dieser Datenbank zugegriffen werden kann. Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss es sich um denselben Benutzer wie im Feld Compliance and Audit Database domain account auf der Seite Configure Reports handeln. Wenn Sie in diesem Feld einen Gruppennamen eingeben, muss der Wert im Feld Compliance and Audit Database domain account auf der Seite Configure Reports ein Mitglied der Gruppe sein, die Sie in diesem Feld eingeben.

Kontoname und Zweck

Kontotyp

Feld des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.

Beschreibung des Felds des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.

Konformitäts- und Überwachungsdatenbank sowie Wiederherstellungsdatenbank – Lese-/Schreibbenutzer oder -gruppe für Berichte

Benutzer oder Gruppe

Read/write access domain user or group

Domänenbenutzer oder -gruppe mit Lese-/Schreibberechtigungen für die Konformitäts- und Überwachungsdatenbank sowie die Wiederherstellungsdatenbank, damit Webanwendungen auf die Daten und Berichte in dieser Datenbank zugreifen können.

Wenn Sie einen Benutzer in dieses Feld eingeben, muss es sich um denselben Wert wie im Feld Web service application pool domain account auf der Seite Configure Web Applications handeln.

Wenn Sie in diesem Feld einen Gruppennamen eingeben, muss der Wert im Feld Web service application pool domain account auf der Seite Configure Web Applications ein Mitglied der Gruppe sein, die Sie in diesem Feld eingeben.

Konformitäts- und Überwachungsdatenbank – Lesebenutzer oder -gruppe für Berichte

Benutzer oder Gruppe

Read-only access domain user or group

Name des Benutzers oder der Gruppe mit Leseberechtigung zur Konformitäts- und Überwachungsdatenbank, damit über Berichte auf die Konformitäts- und Überwachungsdaten in dieser Datenbank zugegriffen werden kann.

Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss es sich um denselben Benutzer wie im Feld Compliance and Audit Database domain account auf der Seite Configure Reports handeln.

Wenn Sie in diesem Feld einen Gruppennamen eingeben, muss der Wert im Feld Compliance and Audit Database domain account auf der Seite Configure Reports ein Mitglied der Gruppe sein, die Sie in diesem Feld eingeben.

Berichtskonten

Erstellen Sie folgende Konten für die Berichtsfunktion.

Kontoname/Zweck	Kontotyp	Feld des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.	Beschreibung des Felds des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.
Reports read-only domain access group	Gruppe	Reporting role domain group	Name der Domänengruppe, deren Mitglieder nur Lesezugriff für die Berichte in der Administration and Monitoring-Website haben.
Konformitäts- und Überwachungsdatenbank – Domänenbenutzerkonto	Benutzer	Compliance and Audit Database domain account	Domänenbenutzerkonto und Kennwort, welches die lokale SQL Server Reporting Services-Instanz für den Zugriff auf die Konformitäts- und Überwachungsdatenbank verwendet. Dieses Konto erfordert Berechtigungen zum Anmelden als Batch für den SQL Server Reporting Services-Server. Wenn der Wert, den Sie im Feld Read-only access domain user or group auf der Seite Configure Databases eingeben, ein Benutzername ist, müssen Sie denselben Wert in dieses Feld eingeben. Wenn der Wert, den Sie im Feld Read-only access domain user or group auf der Seite Configure Databases eingeben, ein Gruppenname ist, muss der in dieses Feld eingegebene Wert ein Mitglied dieser Gruppe sein. Konfigurieren Sie das Kennwort für dieses Konto so, dass es nicht abläuft. Mit dem Konto muss auf alle Daten zugegriffen werden können, die für die Gruppe der MBAM-Berichtsbenutzer verfügbar sind.

Reports read-only domain access group

Gruppe

Reporting role domain group

Name der Domänengruppe, deren Mitglieder nur Lesezugriff für die Berichte in der Administration and Monitoring-Website haben.

Konformitäts- und Überwachungsdatenbank – Domänenbenutzerkonto

Benutzer

Compliance and Audit Database domain account

Domänenbenutzerkonto und Kennwort, welches die lokale SQL Server Reporting Services-Instanz für den Zugriff auf die Konformitäts- und Überwachungsdatenbank verwendet. Dieses Konto erfordert Berechtigungen zum Anmelden als Batch für den SQL Server Reporting Services-Server.

Wenn der Wert, den Sie im Feld Read-only access domain user or group auf der Seite Configure Databases eingeben, ein Benutzername ist, müssen Sie denselben Wert in dieses Feld eingeben.

Wenn der Wert, den Sie im Feld Read-only access domain user or group auf der Seite Configure Databases eingeben, ein Gruppenname ist, muss der in dieses Feld eingegebene Wert ein Mitglied dieser Gruppe sein.

Konfigurieren Sie das Kennwort für dieses Konto so, dass es nicht abläuft. Mit dem Konto muss auf alle Daten zugegriffen werden können, die für die Gruppe der MBAM-Berichtsbenutzer verfügbar sind.

Konten für Administration and Monitoring-Website (Helpdesk)

Erstellen Sie folgende Konten für die Administration and Monitoring-Website.

Kontoname/Zweck	Kontotyp	Feld des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.	Beschreibung des Felds des MBAM-Serverkonfigurationsassistenten, das diesem Konto entspricht.
Web service application pool domain account	Benutzer	Web service application pool domain account	Domänenbenutzerkonto, das vom Anwendungspool für die Webanwendungen verwendet wird. Wenn Sie einen Benutzernamen im Feld Lese-/Schreibzugriff für Domänenbenutzer oder Gruppe auf der Seite Datenbanken konfigurieren eingeben, müssen Sie in diesem Feld den gleichen Wert eingeben. Wenn Sie einen Gruppennamen im Feld Lese-/Schreibzugriff für Domänenbenutzer oder Gruppe auf der Seite Datenbanken konfigurieren eingeben, muss der von Ihnen in diesem Feld eingegebene Wert ein Mitglied dieser Gruppe darstellen. Wenn Sie keine Anmeldeinformationen angeben, werden jene Anmeldeinformationen verwendet, die Sie für eine beliebige zuvor aktivierte Webanwendung angegeben haben. Sämtliche Webanwendungen müssen die gleichen Anwendungs-Pool-Anmeldeinformationen verwenden. Wenn Sie bei unterschiedlichen Webanwendungen unterschiedliche Anmeldeinformationen angeben, wird stets der aktuellste angegebene Wert verwendet. Wichtig Stellen Sie zugunsten einer erhöhten Sicherheit das Konto, das in den Anmeldeinformationen angegeben ist, dergestalt ein, dass es eingeschränkte Benutzerrechte aufweist.
MBAM-Helpdeskbenutzer (erweitert) – Zugriffsgruppe	Gruppe	MBAM-Helpdeskbenutzer (erweitert)	Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Wiederherstellungsbereiche der Administration and Monitoring-Website haben. Benutzer mit dieser Rolle müssen nur den Wiederherstellungsschlüssel eingeben und nicht den Domänen- und Benutzernamen des Endbenutzers, wenn sie Endbenutzern bei der Wiederherstellung ihrer Laufwerke helfen. Wenn ein Benutzer sowohl Mitglied der MBAM-Helpdeskbenutzergruppe und der MBAM-Helpdeskbenutzergruppe (erweitert) ist, haben die Berechtigungen der MBAM-Helpdeskbenutzergruppe (erweitert) Vorrang vor den Berechtigungen der MBAM-Helpdeskbenutzergruppe.
MBAM-Helpdeskbenutzer-Zugriffsgruppe	Gruppe	MBAM-Helpdeskbenutzer	Domainbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche „TPM verwalten“ und „Laufwerkswiederherstellung“ der MBAM Administration and Monitoring-Website haben. Einzelmitglieder mit dieser Rolle müssen alle Felder ausfüllen, einschließlich Domänen- und Kontoname des Endbenutzers, wenn sie eine dieser Optionen verwenden. Wenn ein Benutzer sowohl Mitglied der MBAM-Helpdeskbenutzergruppe und der MBAM-Helpdeskbenutzergruppe (erweitert) ist, haben die Berechtigungen der MBAM-Helpdeskbenutzergruppe (erweitert) Vorrang vor den Berechtigungen der MBAM-Helpdeskbenutzergruppe.
MBAM-Berichtsbenutzer-Zugriffsgruppe	Gruppe	MBAM-Berichtsbenutzer	Domänenbenutzergruppe, deren Mitglieder nur Lesezugriff für die Berichte im Berichtsbereich der Administration and Monitoring-Website haben.
MBAM Datenmigrations-Benutzergruppe	Gruppe	MBAM Datenmigrationsbenutzer	Optionale Domänenbenutzergruppe, deren Mitglieder über Berechtigungen zum Schreiben von Daten in MBAM mithilfe des MBAM-Diensts für Wiederherstellung und Hardware verfügen, der auf dem MBAM-Server ausgeführt wird. Dieses Konto wird im Allgemeinen mit den "Write-Mbam*"-Cmdlets verwendet, um Wiederherstellungs- und TPM-Daten aus Active Directory in die MBAM-Datenbank zu schreiben. Weitere Informationen finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Weitere Ressourcen

Vorbereiten der Umgebung für MBAM 2.5
Bereitstellungsvoraussetzungen für MBAM 2.5