MBAM 2.5 群組與帳戶規劃
適用於: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
本主題列出為了提供 Microsoft BitLocker Administration and Monitoring (MBAM) 資料庫、報告及 Web 應用程式的安全性和存取權限,而必須在 Active Directory 網域服務 (AD DS) 中建立的角色和帳戶。[MBAM 伺服器設定精靈] 中會提供每個角色和帳戶的對應欄位。如需這些帳戶的對應 Windows PowerShell Cmdlet 和參數清單,請參閱Required accounts and corresponding Windows PowerShell cmdlet parameters。
注意
MBAM 不支援使用受管理服務帳戶。
資料庫帳戶
為符合性與稽核資料庫以及修復資料庫建立下列帳戶。
帳戶名稱和用途 | 帳戶類型 | 此帳戶的對應 MBAM 伺服器設定精靈欄位 | 此帳戶的對應 MBAM 伺服器設定精靈欄位的說明 |
---|---|---|---|
用於報告的符合性與稽核資料庫以及修復資料庫讀取/寫入使用者或群組 |
使用者或群組 |
讀取/寫入存取權網域使用者或群組 |
具有符合性與稽核資料庫以及修復資料庫的讀取/寫入存取權,且可讓 Web 應用程式能存取這些資料庫中資料和報告的網域使用者或群組。 如果您在此欄位中輸入使用者名稱,其值必須與 [設定 Web 應用程式] 頁面上 [Web 服務應用程式集區網域帳戶] 欄位中的值相同。 如果您在此欄位中輸入群組名稱,[設定 Web 應用程式] 頁面上 [Web 服務應用程式集區網域帳戶] 欄位中的值必須是您在此欄位中輸入之群組的成員。 |
用於報告的符合性與稽核資料庫唯讀使用者或群組 |
使用者或群組 |
唯讀存取權網域使用者或群組 |
具有符合性與稽核資料庫的唯讀存取權,且可讓報告存取此資料庫中符合性和稽核資料的使用者或群組名稱。 如果您在此欄位中輸入使用者名稱,此使用者必須與 [設定報告] 頁面上 [符合性與稽核資料庫網域帳戶] 欄位中指定的使用者相同。 如果您在此欄位中輸入群組名稱,在 [設定報告] 頁面上 [符合性與稽核資料庫網域帳戶] 欄位中指定的值,必須是在此欄位中指定之群組的成員。 |
報告帳戶
為報告功能建立下列帳戶。
帳戶名稱/用途 | 帳戶類型 | 此帳戶的對應 MBAM 伺服器設定精靈欄位 | 此帳戶的對應 MBAM 伺服器設定精靈欄位的說明 |
---|---|---|---|
報告唯讀網域存取群組 |
群組 |
報告角色網域群組 |
其成員對 Administration and Monitoring Website 中的報告具有唯讀存取權之網域群組的名稱。 |
符合性與稽核資料庫網域使用者帳戶 |
使用者 |
符合性與稽核資料庫網域帳戶 |
本機 SQL Server Reporting Services 執行個體用來存取符合性與稽核資料庫的網域使用者帳戶和密碼。此帳戶需要 SQL Server Reporting Services 伺服器的「以批次工作登入」權限。 若在 [設定資料庫] 頁面上的 [唯讀存取權網域使用者或群組] 欄位中輸入使用者名稱,必須在此欄位中輸入相同的值。 若在 [設定資料庫] 頁面上的 [唯讀存取權網域使用者或群組] 欄位中輸入群組名稱,必須在此欄位中輸入該群組的成員。 請將此帳戶的密碼設定為永遠不過期。這個使用者帳戶應該能夠存取可供 MBAM 報告使用者群組使用的所有資料。 |
Administration and Monitoring Website (技術支援) 帳戶
為 Administration and Monitoring Website 建立下列帳戶。
帳戶名稱/用途 | 帳戶類型 | 此帳戶的對應 MBAM 伺服器設定精靈欄位 | 此帳戶的對應 MBAM 伺服器設定精靈欄位的說明 |
---|---|---|---|
Web 服務應用程式集區網域帳戶 |
使用者 |
Web 服務應用程式集區網域帳戶 |
Web 應用程式的應用程式集區所要使用的網域使用者帳戶。 如果您在 [設定資料庫] 頁面上的 [讀取/寫入存取權網域使用者或群組] 欄位中輸入使用者名稱,則必須在此欄位中輸入相同的值。 如果您在 [設定資料庫] 頁面上的 [讀取/寫入存取權網域使用者或群組] 欄位中輸入群組名稱,則在此欄位中輸入的值必須是該群組的成員。 如果未指定認證,則會使用任何先前啟用的 Web 應用程式所指定的認證。所有 Web 應用程式都必須使用相同的應用程式集區認證。如果為不同的 Web 應用程式指定不同的認證,則會使用最近指定的值。 重要 為了增強安全性,請將認證中指定的帳戶設定為具有有限的使用者權限。 |
MBAM 進階技術支援使用者存取群組 |
群組 |
MBAM 進階技術支援使用者 |
其成員對 Administration and Monitoring Website 中所有修復區域具有存取權的網域使用者群組。具有此角色的使用者在協助使用者修復其磁碟機時,只需要輸入修復金鑰,而不需要輸入使用者的網域和使用者名稱。如果使用者同時是 MBAM 技術支援使用者群組和 MBAM 進階技術支援使用者群組的成員,MBAM 進階技術支援使用者群組權限將覆寫 MBAM 技術支援使用者群組權限。 |
MBAM 技術支援使用者存取群組 |
群組 |
MBAM 技術支援使用者 |
其成員對 MBAM Administration and Monitoring Website 中 [管理 TPM] 和 [磁碟機修復] 區域具有存取權的網域使用者群組。具有此角色的人員在使用任一選項時,必須填寫所有欄位,包括使用者的網域和帳戶名稱。 如果使用者同時是 MBAM 技術支援使用者群組和 MBAM 進階技術支援使用者群組的成員,MBAM 進階技術支援使用者群組權限將覆寫 MBAM 技術支援使用者群組權限。 |
MBAM 報告使用者存取群組 |
群組 |
MBAM 報告使用者 |
其成員對 Administration and Monitoring Website 的 [報告] 區域中的報告具有唯讀存取權的網域使用者群組。 |
MBAM 資料移轉使用者群組 |
群組 |
MBAM 資料移轉使用者 |
選用的網域使用者群組,其成員有權使用 MBAM 伺服器上執行的 MBAM Recovery and Hardware Service,將資料寫入 MBAM。此帳戶通常會搭配使用 Write-Mbam* Cmdlet,將 TPM 資料從 Active Directory 寫入 MBAM 資料庫。 如需詳細資訊,請參閱MBAM 2.5 安全性考量。 |
您對於 MBAM 有任何建議嗎?
您可以在這裡加入您的建議,或對建議進行票選。您如有 MBAM 方面的問題,可利用 MBAM TechNet 論壇。