Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

После установки ПО сервера MBAM 2.5 вы можете настроить компоненты сервера MBAM 2.5 с помощью командлетов Windows PowerShell или мастера настройки сервера MBAM. В этом разделе рассказывается о том, как настроить MBAM 2.5 с помощью командлетов Windows PowerShell. Инструкции по использованию мастера см. в разделе Настройка компонентов MBAM 2.5 Server.

В этом разделе

В этом разделе содержатся следующие сведения об использовании Windows PowerShell для настройки MBAM:

  • Загрузка справки по Windows PowerShell для MBAM 2.5

  • Получение справки по командлету Windows PowerShell MBAM

  • Настройки, которые можно произвести только с помощью Windows PowerShell, но не с помощью мастера настройки сервера MBAM

  • Предварительные требования для использования Windows PowerShell с целью настройки компонентов сервера MBAM

  • Использование Windows PowerShell для настройки MBAM на удаленном компьютере

  • Требуемые учетные записи и соответствующие параметры командлета Windows PowerShell

Сведения о командлетах Get-MbamBitLockerRecoveryKey и Get-MbamTPMOwnerPassword Windows PowerShell, используемых для администрирования MBAM, см. в разделе Использование Windows PowerShell для администрирования MBAM 2.5.

Загрузка справки по Windows PowerShell для MBAM 2.5

Список командлетов Windows PowerShell см. в статье TechNet Автоматизация работы с Microsoft Desktop Optimization Pack с помощью Windows PowerShell.

Загрузка справки по MBAM 2.5 для командлетов Windows PowerShell после установки серверного программного обеспечения MBAM

  1. Откройте интегрированную среду сценариев (ISE) Windows PowerShell или Windows PowerShell.

  2. Введите команду Update-Help –Module Microsoft.MBAM.

Получение справки по командлету Windows PowerShell MBAM

Справка по Windows PowerShell для MBAM доступна в следующих форматах:

Формат справки Windows PowerShell Дополнительные сведения

В командной строке Windows PowerShell введите Get-Help <командлет>

Чтобы загрузить последние командлеты Windows PowerShell, выполните инструкции в предыдущем разделе, посвященном загрузке справки по Windows PowerShell для MBAM.

В виде веб-страниц на сайте TechNet

https://go.microsoft.com/fwlink/?LinkId=393498

В виде DOCX-файла Word в Центре загрузки

https://go.microsoft.com/fwlink/?LinkId=393497

В виде PDF-файла в Центре загрузки

https://go.microsoft.com/fwlink/?LinkId=393499

Настройки, которые можно произвести только с помощью Windows PowerShell, но не с помощью мастера настройки сервера MBAM

Настройки, которые можно произвести только с помощью Windows PowerShell Сведения

Установите веб-службы и веб-приложения на разных компьютерах.

При использовании мастера веб-службы и веб-приложения необходимо устанавливать на одном и том же компьютере.

Включите отчеты в отдельной точке служб отчетов, не устанавливая все объекты Configuration Manager.

Удалите все объекты из Configuration Manager.

При удалении объектов также удаляются все данные о соответствии из Configuration Manager.

Введите настраиваемую строку подключения для баз данных.

Пример. Для настройки работы веб-приложений с зеркальным отображением необходимо воспользоваться командлетом Enable-MbamWebApplication, чтобы указать в строке подключения соответствующий синтаксис для партнера по обеспечению отработки отказа.

Пропустите проверку и настройте компонент, даже если проверка предварительных требований не была пройдена.

  

Примечание

Отключить базы данных MBAM с помощью командлета Windows PowerShell или мастера настройки сервера MBAM нельзя. Во избежание непреднамеренного удаления данных о соответствии и аудите администраторы баз данных должны удалять базы данных вручную.

Предварительные требования для использования Windows PowerShell с целью настройки компонентов сервера MBAM

Перед тем как приступать к настройке, выполните указанные ниже предварительные требования.

Предварительные требования, связанные с учетными записями

Предварительное условие Подробные или дополнительные сведения

Создайте необходимые учетные записи.

См. подраздел Требуемые учетные записи и соответствующие параметры командлета Windows PowerShell далее в этом разделе.

Учетные записи и группы пользователей, передаваемые в качестве параметров в командлеты Windows PowerShell, должны представлять собой действительные учетные записи в домене.

Использовать локальные учетные записи нельзя.

Укажите учетные записи в низкоуровневом формате.

Примеры:

domainNetBiosName\user
domainNetBiosName\group

Предварительные требования, связанные с разрешениями

Предварительное условие Подробные или дополнительные сведения

Вы должны быть локальным администратором на компьютере, на котором вы настраиваете компонент MBAM.

Для выполнения всех командлетов Windows PowerShell используйте командную строку Windows PowerShell с повышенными привилегиями.

Только для командлета Enable-MbamDatabase:

У вас должны быть разрешения "Создание любой базы данных" для экземпляра целевой базы данных Microsoft SQL Server.

Учетная запись пользователя должна входить в группу локальных администраторов или группу "Операторы архива" для регистрации модуля записи службы теневого копирования томов (VSS) MBAM.

По умолчанию администратор базы данных или системный администратор имеет необходимые разрешения "Создание любой базы данных".

Дополнительные сведения о модуле записи VSS см. в статье Служба теневого копирования томов.

Только для компонента Интеграция с System Center Configuration Manager:

Пользователь, включающий этот компонент, должен иметь указанные ниже права в Configuration Manager.

 

Тип прав в Configuration Manager Требуемые права

Права на доступ к сайту Configuration Manager:

- чтение

Права на коллекцию Configuration Manager:

- создание;
- удаление;
- чтение;
- изменение;
- развертывание элементов конфигурации.

Права на элементы конфигурации Configuration Manager:

- создание;
- удаление;
- чтение.

Использование Windows PowerShell для настройки MBAM на удаленном компьютере

Когда следует использовать эту возможность

Когда необходимо настроить компоненты сервера MBAM 2.5 на удаленном компьютере. Командлеты Windows PowerShell выполняются на одном компьютере, а компоненты настраиваются на другом, удаленном компьютере.

Необходимые действия

Для настройки компонентов сервера Windows PowerShell с помощью MBAM 2.5 на удаленном компьютере необходимо:

  • убедиться в том, что ПО сервера MBAM 2.5 установлено на удаленном компьютере;

  • открыть сеанс Windows PowerShell с использованием протокола CredSSP;

  • включить удаленное управление Windows (WinRM). Если вам не удастся включить и правильно настроить WinRM, командлет New-PSSession, описанный в этой таблице, выведет сообщение об ошибке и инструкции по ее устранению. Дополнительные сведения о WinRM см. в статье Использование удаленного управления Windows.

Причины для их выполнения

Этот протокол позволяет командлетам Windows PowerShell подключаться к доменным службам Active Directory с использованием учетных данных администратора. Если открыть сеанс Windows PowerShell без использования этого протокола, может произойти ошибка проверки.

Открытие сеанса Windows PowerShell с использованием протокола CredSSP

В командной строке Windows PowerShell введите следующий код:

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

Ниже приведен пример кода.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Требуемые учетные записи и соответствующие параметры командлета Windows PowerShell

В приведенной ниже таблице описываются учетные записи, требуемые для настройки компонентов сервера MBAM 2.5. В ней также приводятся соответствующие командлеты Windows PowerShell и параметры, для которых необходимо указать учетную запись во время настройки.

Командлет Параметр Тип (пользователь или группа) Описание

Enable-MBAMDatabase

AccessAccount

Пользователь или группа

Чтобы предоставить веб-приложениям доступ к данным и отчетам в базе данных, укажите пользователя или группу пользователей домена с разрешениями чтения и записи для этой базы данных. Если значение представляет собой пользователя домена, то в параметре WebServiceApplicationPoolCredential, используемом при выполнении командлета Enable-MbamWebApplication, должна быть указана учетная запись того же пользователя. Если значение представляет собой группу пользователей домена, то учетная запись домена, указываемая в параметре WebServiceApplicationPoolCredential, должна входить в эту группу.

ReportAccount

Пользователь или группа

Чтобы предоставить отчетам MBAM доступ к данным о соответствии и аудите, укажите пользователя или группу пользователей домена с разрешением только на чтение для этой базы данных. Если значение представляет собой пользователя домена, то в параметре ComplianceAndAuditDBCredential командлета Enable-MbamReport должна быть указана учетная запись того же пользователя. Если значение представляет собой группу пользователей домена, то учетная запись домена, указываемая в параметре ComplianceAndAuditDBCredential, должна входить в эту группу.

Enable-MbamReport

ComplianceAndAuditDBCredential

User (Пользователь)

Определяет учетные данные администратора, которые локальный экземпляр SSRS использует для связи с базой данных сведений о соответствии и аудите MBAM. Пользователь домена, которому принадлежат учетные данные администратора, должен являться пользователем учетной записи, указываемой в параметре ReportAccount, который используется при выполнении командлета Enable-MbamDatabase. Если в параметре ReportAccount указывалась группа пользователей домена, учетная запись должна входить в эту группу.

ImportantВажно
Учетная запись, которой принадлежат учетные данные администратора, должна иметь ограниченные права пользователя для повышения безопасности. Кроме того, для этой учетной записи следует настроить бессрочный пароль.

ReportsReadOnlyAccessGroup

Группа

Определяет группу пользователей домена, которая имеет разрешения на чтение отчетов. Указанная группа должна совпадать с группой, используемой в параметре ReportsReadOnlyAccessGroup командлета Enable-MbamWebApplication.

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Группа

Определяет группу пользователей домена, которая имеет доступ ко всем разделам веб-сайта администрирования и мониторинга, кроме раздела "Отчеты".

HelpdeskAccessGroup

Группа

Определяет группу пользователей домена, которая имеет доступ к разделам Управление TPM и Восстановление дисков веб-сайта администрирования и мониторинга.

ReportsReadOnlyAccessGroup

Группа

Определяет группу пользователей домена, которая имеет разрешение на чтение раздела Отчеты веб-сайта администрирования и мониторинга. Указанная группа должна совпадать с группой, используемой в параметре ReportsReadOnlyAccessGroup командлета Enable-MbamReport.

WebServiceApplicationPoolCredential

User (Пользователь)

Определяет пользователя домена, который будет использоваться пулом приложений для веб-приложений MBAM. Он должен совпадать с учетной записью пользователя домена, указываемой в параметре AccessAccount командлета Enable-MbamDatabase. Если при выполнении командлета AccessAccount в параметре Enable-MbamDatabase указывалась группа пользователей домена, то указываемый здесь пользователь домена должен входить в эту группу. Если не указать учетные данные администратора, будут использоваться учетные данные администратора, которые были заданы для ранее включенного веб-приложения. Все веб-приложения используют одни и те же учетные данные пула приложений. Если они были заданы несколько раз, используется значение, указанное последним.

ImportantВажно
Чтобы повысить безопасность, ограничьте права пользователя для учетной записи, указанной в учетных данных администратора. Кроме того, настройте для этой учетной записи бессрочный пароль. Убедитесь в том, что встроенная учетная запись IIS_IUSRS или учетная запись, используемая в качестве значения параметра WebServiceApplicationPoolCredential, добавлена в локальные параметры безопасности Имитация клиента после проверки подлинности.

Чтобы просмотреть локальные параметры безопасности, откройте редактор локальной политики безопасности, разверните узел Локальные политики, выберите узел Назначение прав пользователя, а затем в области сведений дважды щелкните настройки групповой политики Имитация клиента после проверки подлинности и Вход в качестве пакетного задания.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

Концепции

Проверка настройки компонента MBAM Server
Использование Windows PowerShell для администрирования MBAM 2.5

Другие ресурсы

Настройка компонентов MBAM 2.5 Server