Pianificazione per i gruppi e gli account di MBAM 2.5
Questo articolo elenca i ruoli e gli account che è necessario creare in Active Directory Domain Services per fornire diritti di sicurezza e accesso per i database, i report e le applicazioni Web di Amministrazione e monitoraggio di Microsoft BitLocker. Per ogni ruolo e account, viene fornito il campo corrispondente nella Configurazione guidata server di MBAM. Per un elenco dei cmdlet e dei parametri di Windows PowerShell corrispondenti a questi account, vedere Configurazione delle funzionalità del server MBAM 2.5 tramite Windows PowerShell.
Nota
MBAM non supporta l'uso di account del servizio gestito.
Account di database
Creare gli account seguenti per il database di conformità e di controllo e il database di ripristino.
Nome e scopo dell'account | Tipo di account | Campo configurazione guidata server MBAM corrispondente a questo account | Descrizione del campo configurazione guidata server MBAM corrispondente a questo account |
---|---|---|---|
Utente o gruppo di lettura/scrittura del database di conformità e di controllo e del database di ripristino per i report | Utente o gruppo | Utente o gruppo di dominio di accesso in lettura/scrittura | Utente o gruppo di dominio con accesso in lettura/scrittura al database di conformità e controllo e al database di ripristino per consentire alle applicazioni Web di accedere ai dati e ai report in questi database. Se si immette un nome utente in questo campo, deve corrispondere al valore nel campo account di dominio del pool di applicazioni del servizio Web nella pagina Configura applicazioni Web . Se si immette un nome di gruppo in questo campo, il valore nel campo account di dominio del pool di applicazioni del servizio Web nella pagina Configura applicazioni Web deve essere un membro del gruppo immesso in questo campo. |
Utente o gruppo di sola lettura del database di conformità e controllo per i report | Utente o gruppo | Utente o gruppo di dominio di accesso di sola lettura | Nome dell'utente o del gruppo che ha accesso in sola lettura al database di conformità e controllo per consentire ai report di accedere ai dati di conformità e controllo in questo database. Se si immette un nome utente in questo campo, deve corrispondere a quello specificato nel campo Account di dominio database di conformità e controllo nella pagina Configura report . Se si immette un nome di gruppo in questo campo, il valore specificato nel campo Account di dominio database di conformità e controllo nella pagina Configura report deve essere un membro del gruppo specificato in questo campo. |
Account per la creazione di report
Creare gli account seguenti per la funzionalità Report.
Nome/scopo dell'account | Tipo di account | Campo configurazione guidata server MBAM corrispondente a questo account | Descrizione del campo configurazione guidata server MBAM corrispondente a questo account |
---|---|---|---|
Report gruppo di accesso al dominio di sola lettura | Gruppo | Gruppo di dominio del ruolo di creazione di report | Specifica il gruppo di utenti di dominio che ha accesso in sola lettura ai report nel sito Web di amministrazione e monitoraggio. Il gruppo specificato deve essere lo stesso gruppo specificato per il parametro Gruppo di accesso di sola lettura report quando le app Web sono abilitate. |
Account utente del dominio del database di conformità e controllo | Utente | Account di dominio del database di conformità e controllo | Account utente di dominio e password usati dall'istanza locale di SQL Server Reporting Services per accedere al database di conformità e controllo. Questo account richiede diritti di accesso come Batch per il server SQL Server Reporting Services. Se il valore immesso nel campo Utente o gruppo di dominio di accesso di sola lettura nella pagina Configura database è un nome utente, è necessario immettere lo stesso valore in questo campo. Se il valore immesso nel campo Utente o gruppo di dominio di accesso di sola lettura nella pagina Configura database è un nome di gruppo, il valore immesso in questo campo deve essere membro di tale gruppo. Configurare la password per l'account in modo che non scada mai. L'account utente deve essere in grado di accedere a tutti i dati disponibili per il gruppo MBAM Reports Users.The user account should be able to access all data that is available to the MBAM Reports Users group. |
Account del sito Web di amministrazione e monitoraggio (help desk)
Creare gli account seguenti per il sito Web amministrazione e monitoraggio.
Nome/scopo dell'account | Tipo di account | Campo configurazione guidata server MBAM corrispondente a questo account | Descrizione del campo configurazione guidata server MBAM corrispondente a questo account |
---|---|---|---|
Account di dominio del pool di applicazioni del servizio Web | Utente | Account di dominio del pool di applicazioni del servizio Web | Account utente di dominio da usare dal pool di applicazioni per le applicazioni Web. Se si immette un nome utente nel campo Utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , è necessario immettere lo stesso valore in questo campo. Se si immette un nome di gruppo nel campo utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , il valore immesso in questo campo deve essere un membro di tale gruppo. Se non si specificano le credenziali, vengono usate le credenziali specificate per qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web devono usare le stesse credenziali del pool di applicazioni. Se si specificano credenziali diverse per applicazioni Web diverse, viene usato il valore specificato più di recente. Importante: per una maggiore sicurezza, impostare l'account specificato nelle credenziali in modo che disponga di diritti utente limitati. |
Gruppo di accesso mbam Advanced Helpdesk Users | Gruppo | Utenti dell'helpdesk avanzato di MBAM | Gruppo di utenti di dominio i cui membri hanno accesso a tutte le aree di ripristino del sito Web di amministrazione e monitoraggio. Gli utenti con questo ruolo devono immettere solo la chiave di ripristino e non il nome utente e il dominio dell'utente finale quando consentono agli utenti finali di ripristinare le unità. Se un utente è membro sia del gruppo MBAM Helpdesk Users che del gruppo MBAM Advanced Helpdesk Users, le autorizzazioni del gruppo MBAM Advanced Helpdesk Users sostituiscono le autorizzazioni del gruppo helpdesk MBAM. |
Gruppo di accesso utenti helpdesk MBAM | Gruppo | Utenti dell'helpdesk di MBAM | Gruppo di utenti di dominio i cui membri hanno accesso alle aree Gestisci TPM e Ripristino unità del sito Web di amministrazione e monitoraggio di MBAM. Gli utenti che hanno questo ruolo devono compilare tutti i campi, incluso il nome di dominio e account dell'utente finale, quando usano entrambe le opzioni. Se un utente è membro sia del gruppo MBAM Helpdesk Users che del gruppo MBAM Advanced Helpdesk Users, le autorizzazioni del gruppo MBAM Advanced Helpdesk Users sostituiscono le autorizzazioni del gruppo helpdesk MBAM. |
Gruppo di accesso utenti report MBAM | Gruppo | Utenti del report di MBAM | Gruppo di utenti di dominio i cui membri hanno accesso in sola lettura ai report nell'area Report del sito Web Amministrazione e monitoraggio. |
Gruppo di utenti della migrazione dei dati di MBAM | Gruppo | Utenti della migrazione dei dati di MBAM | Gruppo di utenti di dominio facoltativo i cui membri hanno le autorizzazioni per scrivere dati in MBAM usando il servizio di ripristino e hardware di MBAM in esecuzione nel server MBAM. Questo account viene usato con i Write-Mbam* cmdlet per scrivere i dati di ripristino e TPM da Active Directory nel database MBAM.Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5. |