Configurazione delle funzionalità del server MBAM 2.5 tramite Windows PowerShell
Dopo aver installato il software server Microsoft BitLocker Administration and Monitoring (MBAM) 2.5, è possibile configurare le funzionalità del server MBAM 2.5 usando i cmdlet di Windows PowerShell o la Configurazione guidata server di MBAM. Questo articolo descrive come configurare MBAM 2.5 usando i cmdlet di Windows PowerShell. Per usare la procedura guidata, vedere Configurazione delle funzionalità server di MBAM 2.5.
Per informazioni sui cmdlet Get-MbamBitLockerRecoveryKey e Get-MbamTPMOwnerPassword di Windows PowerShell, usati per amministrare MBAM, vedere Uso di Windows PowerShell per amministrare MBAM 2.5.
Come caricare la Guida di Windows PowerShell per MBAM 2.5
Per un elenco dei cmdlet di Windows PowerShell, vedere Automazione di Microsoft Desktop Optimization Pack con Windows PowerShell.
Per caricare la Guida di MBAM 2.5 per i cmdlet di Windows PowerShell dopo l'installazione del software del server MBAM
Aprire Windows PowerShell o Windows PowerShell Integrated Scripting Environment (ISE).
Digitare
Update-Help -Module Microsoft.MBAM
Come ottenere assistenza su un cmdlet di Windows PowerShell di MBAM
La Guida di Windows PowerShell per MBAM è disponibile nei formati seguenti:
- Al prompt dei comandi di Windows PowerShell digitare
Get-Help <cmdlet>- Per caricare i cmdlet di Windows PowerShell più recenti, seguire le istruzioni nella sezione precedente su come caricare la Guida di Windows PowerShell per MBAM.
- Introduzione all'automazione MDOP
- Scaricare la documentazione di riferimento dei cmdlet MDOP
Configurazioni che è possibile eseguire solo con Windows PowerShell ma non con la configurazione guidata del server MBAM
| Configurazioni che è possibile eseguire solo tramite Windows PowerShell | Dettagli |
|---|---|
| Installare i servizi Web in un computer separato dalle applicazioni Web. | Usando la procedura guidata, è necessario installare i servizi Web e le applicazioni Web nello stesso computer. |
| Abilitare i report in un punto di Reporting Services separato senza installare tutti gli oggetti di Configuration Manager. | |
| Eliminare tutti gli oggetti da Configuration Manager. | L'eliminazione degli oggetti comporta l'eliminazione di tutti i dati di conformità da Configuration Manager. |
| Immettere una stringa di connessione personalizzata per i database. | Esempio: per configurare le applicazioni Web in modo che funzionino con il mirroring, è necessario usare il cmdlet Enable-MbamWebApplication per specificare la sintassi del partner di failover appropriata nella stringa di connessione. |
| Ignorare la convalida e configurare una funzionalità anche se il controllo dei prerequisiti non è riuscito. |
Nota
Non è possibile disabilitare i database MBAM con un cmdlet di Windows PowerShell o la configurazione guidata del server MBAM. Per evitare la rimozione accidentale dei dati di conformità e controllo, gli amministratori di database devono rimuovere manualmente i database.
Prerequisiti e requisiti per l'uso di Windows PowerShell per configurare le funzionalità del server MBAM
Prima di avviare la configurazione, completare i prerequisiti seguenti.
Prerequisiti correlati all'account
| Prerequisito | Dettagli o informazioni aggiuntive |
|---|---|
| Creare gli account necessari. | Vedere la sezione Account obbligatori e parametri del cmdlet di Windows PowerShell corrispondenti più avanti in questo articolo. |
| Gli account utente e i gruppi passati come parametri ai cmdlet di Windows PowerShell devono essere account validi nel dominio. | Non è possibile usare gli account locali. |
| Specificare gli account nel formato di livello inferiore. | Esempi:domainNetBiosName\userdomainNetBiosName\group |
Prerequisiti correlati alle autorizzazioni
- È necessario essere un amministratore nel computer locale in cui si sta configurando la funzionalità MBAM.
- Usare un prompt dei comandi di Windows PowerShell con privilegi elevati per eseguire tutti i cmdlet di Windows PowerShell.
Solo per il cmdlet Enable-MbamDatabase :
- È necessario disporre delle autorizzazioni "Crea qualsiasi database" per l'istanza del database di Microsoft SQL Server di destinazione.
- Per impostazione predefinita, l'amministratore del database o l'amministratore di sistema dispone delle autorizzazioni necessarie per la creazione di qualsiasi database.
- Questo account utente deve far parte del gruppo administrators locale o del gruppo Backup Operators per registrare il writer del servizio copia shadow del volume (VSS) di MBAM.
- Per altre informazioni su VSS Writer, vedere Servizio Copia shadow del volume.
Solo per la funzionalità di integrazione di System Center Configuration Manager , l'utente che abilita questa funzionalità deve disporre dei diritti seguenti in Configuration Manager:
| Tipo di diritti in Configuration Manager | Diritti necessari |
|---|---|
| Diritti del sito di Configuration Manager: | -Leggere |
| Diritti di raccolta di Configuration Manager: | -Creare -Cancellare -Leggere -Modificare - Distribuire elementi di configurazione |
| Diritti dell'elemento di configurazione di Configuration Manager: | -Creare -Cancellare -Leggere |
Uso di Windows PowerShell per configurare MBAM in un computer remoto
| Funzionalità | Dettagli |
|---|---|
| Quando usare questa funzionalità | Quando si desidera configurare le funzionalità del server MBAM 2.5 in un computer remoto. I cmdlet di Windows PowerShell sono in esecuzione in un computer e le funzionalità vengono configurate in un computer remoto diverso. |
| Cosa devi fare | Per usare Windows PowerShell per configurare le funzionalità del server MBAM 2.5 in un computer remoto, è necessario:
|
| Perché devi farlo | Questo protocollo consente ai cmdlet di Windows PowerShell di connettersi a Servizi di dominio Active Directory usando le credenziali amministrative dell'utente. È possibile che venga visualizzato un errore di convalida se si avvia la sessione di Windows PowerShell senza questo protocollo. |
| Come avviare una sessione di Windows PowerShell con il protocollo CredSSP | Digitare il codice seguente al prompt di Windows PowerShell:$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxxIl codice seguente illustra un esempio: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
Account obbligatori e parametri del cmdlet di Windows PowerShell corrispondenti
Le sezioni seguenti descrivono gli account necessari per configurare le funzionalità del server MBAM 2.5. Elenca anche il cmdlet e il parametro di Windows PowerShell corrispondenti per i quali è necessario specificare l'account durante la configurazione.
Descrizione del tipo di parametro del cmdlet (utente o gruppo)
Enable-MBAMDatabase
AccessAccount
Tipo: utente o gruppo
Specificare un utente o un gruppo di dominio che dispone dell'autorizzazione di lettura/scrittura per questo database per concedere alle applicazioni Web l'accesso ai dati e ai report in questo database. Se il valore è un utente di dominio, il parametro WebServiceApplicationPoolCredential utilizzato durante l'esecuzione del cmdlet Enable-MbamWebApplication deve usare lo stesso account utente. Se il valore è un gruppo utenti di dominio, l'account di dominio utilizzato dal parametro WebServiceApplicationPoolCredential deve essere un membro di questo gruppo.
ReportAccount
Tipo: utente o gruppo
Specificare un utente di dominio o un gruppo Utenti che dispone dell'autorizzazione di sola lettura per questo database per fornire ai report MBAM l'accesso ai dati di conformità e controllo. Se il valore è un utente di dominio, il parametro ComplianceAndAuditDBCredential del cmdlet Enable-MbamReport deve usare lo stesso account utente. Se il valore è un gruppo utenti di dominio, l'account di dominio usato dal parametro ComplianceAndAuditDBCredential deve essere un membro di questo gruppo.
Enable-MbamReport
ComplianceAndAuditDBCredential
Tipo: Utente
Specifica le credenziali amministrative usate dall'istanza SSRS locale per connettersi al database di conformità e controllo di MBAM. L'utente di dominio nelle credenziali amministrative deve corrispondere all'account utente usato per il parametro ReportAccount , usato durante l'esecuzione del cmdlet Enable-MbamDatabase . Se è stato usato un gruppo utenti di dominio con il parametro ReportAccount , questo account deve essere un membro di tale gruppo.
Importante
L'account specificato nelle credenziali amministrative deve avere diritti utente limitati per una maggiore sicurezza. Inoltre, la password dell'account deve essere impostata su non scadere.
ReportsReadOnlyAccessGroup
Tipo: Gruppo
Specifica il gruppo di utenti di dominio con autorizzazioni di lettura per i report. Il gruppo specificato deve essere lo stesso gruppo utilizzato per il parametro ReportsReadOnlyAccessGroup nel cmdlet Enable-MbamWebApplication .
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
Tipo: Gruppo
Specifica il gruppo Utenti di dominio che ha accesso a tutte le aree del sito Web di amministrazione e monitoraggio, ad eccezione dell'area Report.
HelpdeskAccessGroup
Tipo: Gruppo
Specifica il gruppo Utenti di dominio che ha accesso alle aree Gestisci TPM e Ripristino unità del sito Web amministrazione e monitoraggio.
ReportsReadOnlyAccessGroup
Tipo: Gruppo
Specifica il gruppo Utenti di dominio che dispone dell'autorizzazione di lettura per l'area Report del sito Web di amministrazione e monitoraggio. Il gruppo specificato deve essere lo stesso gruppo utilizzato per il parametro ReportsReadOnlyAccessGroup nel cmdlet Enable-MbamReport .
WebServiceApplicationPoolCredential
Tipo: Utente
Specifica l'utente di dominio che deve essere usato dal pool di applicazioni per le applicazioni Web MBAM. Deve essere lo stesso account utente di dominio specificato nel parametro AccessAccount del cmdlet Enable-MbamDatabase . Se un gruppo utenti di dominio è stato utilizzato dal parametro AccessAccount durante l'esecuzione del cmdlet Enable-MbamDatabase , l'utente di dominio specificato qui deve essere un membro di tale gruppo. Se non si specificano le credenziali amministrative, vengono usate le credenziali amministrative specificate da qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web usano la stessa identità del pool di applicazioni. Se viene specificato più volte, viene usato il valore specificato più di recente.
Importante
Per una maggiore sicurezza, impostare l'account specificato nelle credenziali amministrative su diritti utente limitati. Impostare inoltre la password dell'account in modo che non scada mai. Assicurarsi che l'account IIS_IUSRS predefinito o l'account usato per il parametro WebServiceApplicationPoolCredential sia stato aggiunto all'impostazione Impersonate a client after authentication local security (Rappresenta un client dopo l'autenticazione ).
Per visualizzare l'impostazione di sicurezza locale, aprire l'editor criteri di sicurezza locali, espandere il nodo Criteri locali , selezionare il nodo Assegnazione diritti utente e quindi fare doppio clic sulle impostazioni di Criteri di gruppo Rappresenta un client dopo l'autenticazione e Accedi come gruppo di processi batch nel riquadro dei dettagli.
Articoli correlati
Configurazione delle funzionalità del server MBAM 2.5
Convalida della configurazione della funzionalità del server MBAM 2.5