Planeamiento de grupos y cuentas de MBAM 2.5
En este artículo se enumeran los roles y cuentas que debe crear en Active Directory Domain Services para proporcionar derechos de seguridad y acceso a las bases de datos, informes y aplicaciones web de Microsoft BitLocker Administration and Monitoring (MBAM). Para cada rol y cuenta, se proporciona el campo correspondiente en el Asistente para configuración del servidor MBAM. Para obtener una lista de los cmdlets y parámetros de Windows PowerShell que corresponden a estas cuentas, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell.
Nota
MBAM no admite el uso de cuentas de servicio administradas.
Cuentas de base de datos
Cree las cuentas siguientes para la base de datos de cumplimiento y auditoría y la base de datos de recuperación.
| Nombre y propósito de la cuenta | Tipo de cuenta | Campo del Asistente para configuración del servidor MBAM que corresponde a esta cuenta | Descripción del campo del Asistente para configuración del servidor MBAM que corresponde a esta cuenta |
|---|---|---|---|
| Grupo o usuario de lectura y escritura de base de datos de cumplimiento y auditoría y base de datos de recuperación para informes | Usuario o grupo | Usuario o grupo de dominio de acceso de lectura y escritura | Usuario o grupo de dominio que tiene acceso de lectura y escritura a la base de datos de cumplimiento y auditoría y a la base de datos de recuperación para permitir que las aplicaciones web accedan a los datos e informes de estas bases de datos. Si escribe un nombre de usuario en este campo, debe ser el mismo valor que el valor del campo Cuenta de dominio del grupo de aplicaciones de servicio web en la página Configurar aplicaciones web . Si escribe un nombre de grupo en este campo, el valor del campo Cuenta de dominio del grupo de aplicaciones de servicio web de la página Configurar aplicaciones web debe ser miembro del grupo especificado en este campo. |
| Grupo o usuario de solo lectura de la base de datos de cumplimiento y auditoría para informes | Usuario o grupo | Usuario o grupo de dominio de acceso de solo lectura | Nombre del usuario o grupo que tiene acceso de solo lectura a la base de datos de cumplimiento y auditoría para permitir que los informes accedan a los datos de cumplimiento y auditoría de esta base de datos. Si escribe un nombre de usuario en este campo, debe ser el mismo usuario que el que especifique en el campo Cuenta de dominio de base de datos de cumplimiento y auditoría de la página Configurar informes . Si escribe un nombre de grupo en este campo, el valor que especifique en el campo Cuenta de dominio de base de datos de cumplimiento y auditoría de la página Configurar informes debe ser miembro del grupo que especifique en este campo. |
Cuentas de informes
Cree las cuentas siguientes para la característica Informes.
| Nombre o propósito de la cuenta | Tipo de cuenta | Campo del Asistente para configuración del servidor MBAM que corresponde a esta cuenta | Descripción del campo del Asistente para configuración del servidor MBAM que corresponde a esta cuenta |
|---|---|---|---|
| Informes de grupo de acceso de dominio de solo lectura | Grupo | Grupo de dominios de rol de informes | Especifica el grupo de usuarios de dominio que tiene acceso de solo lectura a los informes del sitio web de administración y supervisión. El grupo que especifique debe ser el mismo grupo que especificó para el parámetro Grupo de acceso de solo lectura de informes cuando se habilitan las aplicaciones web. |
| Cuenta de usuario de dominio de base de datos de cumplimiento y auditoría | Usuario | Cuenta de dominio de base de datos de cumplimiento y auditoría | Cuenta de usuario de dominio y contraseña que usa la instancia local de SQL Server Reporting Services para acceder a la base de datos de cumplimiento y auditoría. Esta cuenta requiere derechos iniciar sesión como batch en el servidor de SQL Server Reporting Services. Si el valor especificado en el campo Usuario o grupo de dominio de acceso de solo lectura de la página Configurar bases de datos es un nombre de usuario, debe escribir ese mismo valor en este campo. Si el valor especificado en el campo Usuario o grupo de dominio de acceso de solo lectura de la página Configurar bases de datos es un nombre de grupo, el valor que escriba en este campo debe ser miembro de ese grupo. Configure la contraseña para que esta cuenta nunca expire. La cuenta de usuario debe poder acceder a todos los datos disponibles para el grupo Usuarios de informes de MBAM. |
Cuentas del sitio web de administración y supervisión (Help Desk)
Cree las cuentas siguientes para el sitio web de administración y supervisión.
| Nombre o propósito de la cuenta | Tipo de cuenta | Campo del Asistente para configuración del servidor MBAM que corresponde a esta cuenta | Descripción del campo del Asistente para configuración del servidor MBAM que corresponde a esta cuenta |
|---|---|---|---|
| Cuenta de dominio del grupo de aplicaciones de servicio web | Usuario | Cuenta de dominio del grupo de aplicaciones de servicio web | Cuenta de usuario de dominio que usará el grupo de aplicaciones para las aplicaciones web. Si escribe un nombre de usuario en el campo Usuario o grupo de dominio de acceso de lectura y escritura de la página Configurar bases de datos , debe escribir ese mismo valor en este campo. Si escribe un nombre de grupo en el campo Usuario o grupo de dominio de acceso de lectura y escritura de la página Configurar bases de datos , el valor especificado en este campo debe ser miembro de ese grupo. Si no especifica credenciales, se usan las credenciales que se especificaron para cualquier aplicación web habilitada anteriormente. Todas las aplicaciones web deben usar las mismas credenciales de grupo de aplicaciones. Si especifica credenciales diferentes para diferentes aplicaciones web, se usa el valor especificado más recientemente. Importante: Para mejorar la seguridad, establezca la cuenta especificada en las credenciales para que tenga derechos de usuario limitados. |
| Grupo de acceso de usuarios avanzados del departamento de soporte técnico de MBAM | Grupo | Usuarios avanzados del departamento de soporte técnico de MBAM | Grupo de usuarios de dominio cuyos miembros tienen acceso a todas las áreas de recuperación del sitio web de administración y supervisión. Los usuarios que tienen este rol tienen que escribir solo la clave de recuperación, y no el dominio y el nombre de usuario del usuario final, al ayudar a los usuarios finales a recuperar sus unidades. Si un usuario es miembro del grupo Usuarios del departamento de soporte técnico de MBAM y del grupo Usuarios avanzados del departamento de soporte técnico de MBAM, los permisos del grupo Usuarios avanzados del departamento de soporte técnico de MBAM invalidan los permisos del grupo de soporte técnico de MBAM. |
| Grupo de acceso de usuarios del departamento de soporte técnico de MBAM | Grupo | Usuarios del departamento de soporte técnico de MBAM | Grupo de usuarios de dominio cuyos miembros tienen acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web de administración y supervisión de MBAM. Las personas que tienen este rol deben rellenar todos los campos, incluidos el nombre de dominio y cuenta del usuario final, cuando usan cualquiera de las dos opciones. Si un usuario es miembro del grupo Usuarios del departamento de soporte técnico de MBAM y del grupo Usuarios avanzados del departamento de soporte técnico de MBAM, los permisos del grupo Usuarios avanzados del departamento de soporte técnico de MBAM invalidan los permisos del grupo de soporte técnico de MBAM. |
| Grupo de acceso de usuarios de informes de MBAM | Grupo | Usuarios de informes de MBAM | Grupo de usuarios de dominio cuyos miembros tienen acceso de solo lectura a los informes en el área Informes del sitio web de administración y supervisión. |
| Grupo de usuarios de migración de datos de MBAM | Grupo | Usuarios de migración de datos de MBAM | Grupo de usuarios de dominio opcional cuyos miembros tienen permisos para escribir datos en MBAM mediante el servicio de recuperación y hardware de MBAM que se ejecuta en el servidor MBAM. Esta cuenta se usa con los Write-Mbam* cmdlets para escribir datos de recuperación y TPM de Active Directory en la base de datos MBAM.Para obtener más información, consulte Consideraciones de seguridad de MBAM 2.5. |