Configurar as funcionalidades do servidor MBAM 2.5 com Windows PowerShell

Depois de instalar o software de servidor Microsoft BitLocker Administration and Monitoring (MBAM) 2.5, pode configurar as funcionalidades do servidor MBAM 2.5 com Windows PowerShell cmdlets ou o assistente de Configuração do Servidor MBAM. Este artigo descreve como configurar o MBAM 2.5 com os cmdlets Windows PowerShell. Para utilizar o assistente, consulte Configurar as Funcionalidades do Servidor MBAM 2.5.

Para obter informações sobre os cmdlets Get-MbamBitLockerRecoveryKey e Get-MbamTPMOwnerPassword Windows PowerShell, que são utilizados para administrar o MBAM, consulte Utilizar Windows PowerShell para Administrar o MBAM 2.5.

Como carregar Windows PowerShell ajuda para o MBAM 2.5

Para obter uma lista dos cmdlets Windows PowerShell, veja Automatização do Pacote de Otimização do Ambiente de Trabalho da Microsoft com Windows PowerShell.

Para carregar a ajuda do MBAM 2.5 para Windows PowerShell cmdlets após a instalação do software de servidor MBAM

1. Abra Windows PowerShell ou Windows PowerShell o Ambiente de Scripting Integrado (ISE).

2. Tipo Update-Help -Module Microsoft.MBAM

Como obter ajuda sobre um cmdlet de Windows PowerShell MBAM

Windows PowerShell ajuda para o MBAM está disponível nos seguintes formatos:

• Numa linha de comandos Windows PowerShell, escrevaGet-Help <cmdlet>
  • Para carregar os cmdlets de Windows PowerShell mais recentes, siga as instruções na secção anterior sobre como carregar Windows PowerShell ajuda para o MBAM.
• Introdução à automatização MDOP
• Transferir a documentação de referência do cmdlet MDOP

Configurações que só pode fazer com Windows PowerShell, mas não com o assistente de Configuração do Servidor MBAM

Configurações que só pode fazer com Windows PowerShell	Detalhes
Instale os serviços Web num computador separado das aplicações Web.	Com o assistente, tem de instalar os serviços Web e as aplicações Web no mesmo computador.
Ative relatórios num ponto separado do Reporting Services sem instalar todos os objetos Configuration Manager.
Elimine todos os objetos de Configuration Manager.	Eliminar os objetos por sua vez elimina todos os dados de compatibilidade de Configuration Manager.
Introduza um cadeia de conexão personalizado para as bases de dados.	Exemplo: para configurar as aplicações Web para funcionarem com espelhamento, tem de utilizar o cmdlet Enable-MbamWebApplication para especificar a sintaxe do parceiro de ativação pós-falha adequada no cadeia de conexão.
Ignore a validação e configure uma funcionalidade, apesar de o pré-requisito marcar ter falhado.

Observação

Não pode desativar as bases de dados MBAM com um cmdlet Windows PowerShell ou o assistente de Configuração do Servidor MBAM. Para impedir a remoção acidental dos dados de conformidade e auditoria, os administradores da base de dados têm de remover as bases de dados manualmente.

Pré-requisitos e requisitos para utilizar Windows PowerShell para configurar funcionalidades do servidor MBAM

Antes de iniciar a configuração, conclua os seguintes pré-requisitos.

Pré-requisitos relacionados com contas

Pré-requisito	Detalhes ou informações adicionais
Crie as contas necessárias.	Veja a secção Contas necessárias e parâmetros de cmdlet correspondentes Windows PowerShell mais à frente neste artigo.
As contas de utilizador e os grupos que transmite como parâmetros para os cmdlets Windows PowerShell têm de ser contas válidas no domínio.	Não pode utilizar contas locais.
Especifique as contas no formato de nível inferior.	Exemplos: domainNetBiosName\user domainNetBiosName\group

Pré-requisitos relacionados com permissões

• Tem de ser um administrador no computador local onde está a configurar a funcionalidade MBAM.
• Utilize uma linha de comandos Windows PowerShell elevada para executar todos os cmdlets Windows PowerShell.

Apenas para o cmdlet Enable-MbamDatabase :

• Tem de ter permissões de "criar qualquer base de dados" na instância da base de dados de destino do Microsoft SQL Server.
• Por predefinição, o administrador da base de dados ou o administrador de sistema tem as permissões necessárias para "criar qualquer base de dados".
• Esta conta de utilizador tem de fazer parte do grupo de administradores locais ou do grupo Operadores de Cópia de Segurança para registar o Escritor do Serviço de Cópia Sombra de Volumes (VSS) do MBAM.
• Para obter mais informações sobre o Escritor VSS, veja Serviço de Cópia Sombra de Volumes.

Apenas para a funcionalidade Integração de Configuration Manager do System Center, o utilizador que ativa esta funcionalidade tem de ter estes direitos no Configuration Manager:

Tipo de direitos no Configuration Manager	Direitos necessários
Configuration Manager direitos de Site:	- Ler
direitos de Recolha de Configuration Manager:	- Criar - Eliminar - Ler - Modificar - Implementar Itens de Configuração
Configuration Manager direitos de item de Configuração:	- Criar - Eliminar - Ler

Utilizar Windows PowerShell para configurar o MBAM num computador remoto

Funcionalidade	Detalhes
Quando utilizar esta capacidade	Quando quiser configurar as funcionalidades do Servidor MBAM 2.5 num computador remoto. Os cmdlets Windows PowerShell estão em execução num computador e está a configurar as funcionalidades num computador remoto diferente.
O que tem de fazer	Para utilizar Windows PowerShell para configurar as funcionalidades do Servidor MBAM 2.5 num computador remoto, tem de: Certifique-se de que o software do Servidor MBAM 2.5 foi instalado no computador remoto. Utilize o Protocolo do Fornecedor de Suporte de Segurança de Credenciais (CredSSP) para abrir a sessão de Windows PowerShell. Ativar a Gestão Remota do Windows (WinRM). Se não conseguir ativar o WinRM e configurá-lo corretamente, o cmdlet New-PSSession descrito nesta tabela apresenta um erro e descreve como corrigir o problema. Para obter mais informações sobre o WinRM, consulte Utilizar a Gestão Remota do Windows.
Por que tem que fazê-lo?	Este protocolo permite que os cmdlets do Windows PowerShell se liguem ao Active Directory Domain Services com as credenciais administrativas do utilizador. Poderá obter um erro de validação se iniciar a sessão Windows PowerShell sem este protocolo.
Como iniciar uma sessão de Windows PowerShell com o protocolo CredSSP	Escreva o seguinte código na linha de comandos Windows PowerShell: $s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx O código seguinte mostra um exemplo: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential) Enter-PSSession $session

Contas necessárias e parâmetros de cmdlet Windows PowerShell correspondentes

As secções seguintes descrevem as contas necessárias para configurar as funcionalidades do servidor MBAM 2.5. Também lista o cmdlet e o parâmetro correspondentes Windows PowerShell para o qual tem de especificar a conta durante a configuração.

Descrição do Tipo de Parâmetro do Cmdlet (Utilizador ou Grupo)

Enable-MBAMDatabase

AccessAccount

Tipo: Utilizador ou Grupo

Especifique um utilizador ou grupo de domínio que tenha permissão de leitura/escrita para esta base de dados para conceder às aplicações Web acesso a dados e relatórios nesta base de dados. Se o valor for um utilizador de domínio, o parâmetro WebServiceApplicationPoolCredential utilizado ao executar o cmdlet Enable-MbamWebApplication tem de utilizar a mesma conta de utilizador. Se o valor for um domínio Grupo de utilizadores, a conta de domínio utilizada pelo parâmetro WebServiceApplicationPoolCredential tem de ser membro deste grupo.

ReportAccount

Tipo: Utilizador ou Grupo

Especifique um utilizador de domínio ou grupo Utilizadores que tenha permissão só de leitura para esta base de dados para fornecer aos relatórios MBAM acesso aos dados de conformidade e auditoria. Se o valor for um utilizador de domínio, o parâmetro ComplianceAndAuditDBCredential do cmdlet Enable-MbamReport tem de utilizar a mesma conta de utilizador. Se o valor for um domínio Grupo de utilizadores, a conta de domínio utilizada pelo parâmetro ComplianceAndAuditDBCredential tem de ser membro deste grupo.

Enable-MbamReport

ComplianceAndAuditDBCredential

Tipo: Utilizador

Especifica a credencial administrativa que a instância SSRS local utiliza para ligar à Base de Dados de Conformidade e Auditoria do MBAM. O utilizador de domínio na credencial administrativa tem de ser o mesmo que a conta de utilizador utilizada para o parâmetro ReportAccount , que é utilizado durante a execução do cmdlet Enable-MbamDatabase . Se um domínio Grupo de utilizadores tiver sido utilizado com o parâmetro ReportAccount , esta conta deverá ser um membro desse grupo.

Importante

A conta especificada nas credenciais administrativas deve ter direitos de utilizador limitados para uma segurança melhorada. Além disso, a palavra-passe da conta deve estar definida para não expirar.

ReportsReadOnlyAccessGroup

Tipo: Grupo

Especifica o grupo de utilizadores de domínio que tem permissões de leitura para os relatórios. O grupo especificado tem de ser o mesmo grupo utilizado para o parâmetro ReportsReadOnlyAccessGroup no cmdlet Enable-MbamWebApplication .

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Tipo: Grupo

Especifica o domínio Grupo de utilizadores que tem acesso a todas as áreas do Site de Administração e Monitorização, exceto na área Relatórios.

HelpdeskAccessGroup

Tipo: Grupo

Especifica o domínio Grupo de utilizadores que tem acesso às áreas Gerir TPM e Recuperação de Unidades do Site de Administração e Monitorização.

ReportsReadOnlyAccessGroup

Tipo: Grupo

Especifica o domínio Grupo de utilizadores que tem permissão de leitura para a área Relatórios do Site de Administração e Monitorização. O grupo especificado tem de ser o mesmo grupo utilizado para o parâmetro ReportsReadOnlyAccessGroup no cmdlet Enable-MbamReport .

WebServiceApplicationPoolCredential

Tipo: Utilizador

Especifica o utilizador de domínio a ser utilizado pelo conjunto aplicacional para as aplicações Web MBAM. Tem de ser a mesma conta de utilizador de domínio especificada no parâmetro AccessAccount do cmdlet Enable-MbamDatabase . Se um domínio Grupo de utilizadores tiver sido utilizado pelo parâmetro AccessAccount ao executar o cmdlet Enable-MbamDatabase , o utilizador de domínio especificado aqui tem de ser um membro desse grupo. Se não especificar as credenciais administrativas, são utilizadas as credenciais administrativas especificadas por qualquer aplicação Web ativada anteriormente. Todas as aplicações Web utilizam a mesma identidade do conjunto aplicacional. Se for especificado várias vezes, é utilizado o valor especificado mais recentemente.

Importante

Para maior segurança, defina a conta especificada nas credenciais administrativas para direitos de utilizador limitados. Além disso, defina a palavra-passe da conta para nunca expirar. Certifique-se de que a conta IIS_IUSRS incorporada ou a conta utilizada para o parâmetro WebServiceApplicationPoolCredential foi adicionada à definição Representar um cliente após a autenticação da segurança local.

Para ver a definição de segurança local, abra o editor de Políticas de Segurança Local, expanda o nó Políticas Locais , selecione o nó Atribuição de Direitos de Utilizador e, em seguida, faça duplo clique em Representar um cliente após a autenticação e Inicie sessão como uma política de grupo de tarefas em lote no painel de detalhes.

Artigos relacionados

Configurar as funcionalidades do servidor MBAM 2.5

Validar a configuração da funcionalidade do servidor MBAM 2.5

Utilizar Windows PowerShell para administrar o MBAM 2.5