Настройка функций сервера MBAM 2.5 с помощью Windows PowerShell

После установки серверного программного обеспечения администрирования и мониторинга Microsoft BitLocker (MBAM) 2.5 можно настроить функции сервера MBAM 2.5 с помощью командлетов Windows PowerShell или мастера настройки сервера MBAM. В этой статье описывается настройка MBAM 2.5 с помощью командлетов Windows PowerShell. Сведения о том, как использовать мастер, см. в статье Настройка компонентов сервера MBAM 2.5.

Сведения о командлетах Windows PowerShell Get-MbamBitLockerRecoveryKey и Get-MbamTPMOwnerPassword , которые используются для администрирования MBAM, см. в статье Использование Windows PowerShell для администрирования MBAM 2.5.

Загрузка справки Windows PowerShell для MBAM 2.5

Список командлетов Windows PowerShell см. в статье Автоматизация пакета оптимизации рабочих столов Майкрософт с помощью Windows PowerShell.

Загрузка справки MBAM 2.5 для командлетов Windows PowerShell после установки программного обеспечения сервера MBAM

1. Откройте Windows PowerShell или интегрированную среду сценариев Windows PowerShell (ISE).

2. Тип Update-Help -Module Microsoft.MBAM

Получение справки о командлете MBAM Windows PowerShell

Справка Windows PowerShell по MBAM доступна в следующих форматах:

• В командной строке Windows PowerShell введите Get-Help <cmdlet>
  • Чтобы отправить последние командлеты Windows PowerShell, следуйте инструкциям в предыдущем разделе о загрузке справки Windows PowerShell для MBAM.
• Начало работы с автоматизацией MDOP
• Скачать справочную документацию по командлету MDOP

Конфигурации, которые можно выполнять только с помощью Windows PowerShell, но не с помощью мастера конфигурации сервера MBAM

Конфигурации, которые можно выполнить только с помощью Windows PowerShell	Сведения
Установите веб-службы на отдельном компьютере от веб-приложений.	С помощью мастера необходимо установить веб-службы и веб-приложения на одном компьютере.
Включение отчетов в отдельной точке служб отчетов без установки всех объектов Configuration Manager.
Удалите все объекты из Configuration Manager.	Удаление объектов, в свою очередь, удаляет все данные о соответствии из Configuration Manager.
Введите настраиваемую строку подключения для баз данных.	Пример. Чтобы настроить веб-приложения для работы с зеркальным отображением, необходимо использовать командлет Enable-MbamWebApplication , чтобы указать соответствующий синтаксис партнера по отработке отказа в строке подключения.
Пропустите проверку и настройте функцию, даже если проверка готовности завершилась ошибкой.

Примечание.

Вы не можете отключить базы данных MBAM с помощью командлета Windows PowerShell или мастера настройки сервера MBAM. Чтобы предотвратить случайное удаление данных о соответствии и аудите, администраторы баз данных должны удалить базы данных вручную.

Предварительные требования и требования для настройки функций сервера MBAM с помощью Windows PowerShell

Перед началом настройки выполните следующие предварительные требования.

Предварительные требования, связанные с учетной записью

Предпосылка	Сведения или дополнительные сведения
Создайте необходимые учетные записи.	См. раздел Обязательные учетные записи и соответствующие параметры командлета Windows PowerShell далее в этой статье.
Учетные записи пользователей и группы, которые передаются в качестве параметров командлетам Windows PowerShell, должны быть допустимыми учетными записями в домене.	Вы не можете использовать локальные учетные записи.
Укажите учетные записи в формате нижнего уровня.	Примеры: domainNetBiosName\user domainNetBiosName\group

Предварительные требования, связанные с разрешениями

• Вы должны быть администратором на локальном компьютере, на котором настраивается функция MBAM.
• Используйте командную строку Windows PowerShell с повышенными привилегиями для запуска всех командлетов Windows PowerShell.

Только для командлета Enable-MbamDatabase :

• У вас должны быть разрешения на создание любой базы данных для экземпляра целевой базы данных Microsoft SQL Server.
• По умолчанию администратор базы данных или системный администратор имеет необходимые разрешения на создание любой базы данных.
• Эта учетная запись пользователя должна быть частью локальной группы администраторов или группы операторов резервного копирования, чтобы зарегистрировать модуль записи службы теневого копирования томов MBAM (VSS).
• Дополнительные сведения о записи VSS см. в разделе Служба теневого копирования томов.

Только для функции интеграции с System Center Configuration Manager пользователь, который включает эту функцию, должен иметь следующие права в Configuration Manager:

Тип прав в Configuration Manager	Необходимые права
Права сайта Configuration Manager:	-Читать
Права на коллекцию Configuration Manager:	-Создавать -Удалить -Читать -Модифицировать — Развертывание элементов конфигурации
Права на элемент конфигурации Configuration Manager:	-Создавать -Удалить -Читать

Использование Windows PowerShell для настройки MBAM на удаленном компьютере

Возможность	Сведения
Когда следует использовать эту возможность	Если вы хотите настроить функции сервера MBAM 2.5 на удаленном компьютере. Командлеты Windows PowerShell выполняются на одном компьютере, и вы настраиваете функции на другом удаленном компьютере.
Что вы должны сделать	Чтобы использовать Windows PowerShell для настройки функций сервера MBAM 2.5 на удаленном компьютере, необходимо: Убедитесь, что на удаленном компьютере установлено программное обеспечение MBAM 2.5 Server. Используйте протокол CredSSP для открытия сеанса Windows PowerShell. Включите удаленное управление Windows (WinRM). Если не удается включить WinRM и правильно настроить его, командлет New-PSSession , описанный в этой таблице, отображает ошибку и описывает, как устранить проблему. Дополнительные сведения о WinRM см. в статье Использование удаленного управления Windows.
Почему вы должны это сделать	Этот протокол позволяет командлетам Windows PowerShell подключаться к доменным службам Active Directory с использованием учетных данных администратора пользователя. При запуске сеанса Windows PowerShell без этого протокола может возникнуть ошибка проверки.
Запуск сеанса Windows PowerShell с помощью протокола CredSSP	Введите следующий код в командной строке Windows PowerShell: $s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx В следующем коде показан пример: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential) Enter-PSSession $session

Обязательные учетные записи и соответствующие параметры командлета Windows PowerShell

В следующих разделах описаны учетные записи, необходимые для настройки функций сервера MBAM 2.5. В нем также перечислены соответствующий командлет Windows PowerShell и параметр, для которых необходимо указать учетную запись во время настройки.

Описание типа параметра командлета (пользователь или группа)

Enable-MBAMDatabase

AccessAccount

Тип: пользователь или группа

Укажите пользователя или группу домена с разрешением на чтение и запись в этой базе данных, чтобы предоставить веб-приложениям доступ к данным и отчетам в этой базе данных. Если значение является пользователем домена, параметр WebServiceApplicationPoolCredential , используемый при выполнении командлета Enable-MbamWebApplication , должен использовать ту же учетную запись пользователя. Если значением является группа пользователей домена, учетная запись домена, используемая параметром WebServiceApplicationPoolCredential , должна быть членом этой группы.

ReportAccount

Тип: пользователь или группа

Укажите пользователя домена или группу пользователей, у которого есть разрешение только на чтение для этой базы данных, чтобы предоставить отчетам MBAM доступ к данным соответствия и аудиту. Если значение является пользователем домена, параметр ComplianceAndAuditDBCredential командлета Enable-MbamReport должен использовать ту же учетную запись пользователя. Если значением является группа пользователей домена, то учетная запись домена, используемая параметром ComplianceAndAuditDBCredential , должна быть членом этой группы.

Enable-MbamReport

ComplianceAndAuditDBCredential

Тип: User

Указывает учетные данные администратора, которые локальный экземпляр SSRS использует для подключения к базе данных соответствия и аудита MBAM. Пользователь домена с учетными данными администратора должен совпадать с учетной записью пользователя, используемой для параметра ReportAccount , который используется при выполнении командлета Enable-MbamDatabase . Если группа пользователей домена использовалась с параметром ReportAccount , эта учетная запись должна быть членом этой группы.

Важно.

Учетная запись, указанная в учетных данных администратора, должна иметь ограниченные права пользователя для повышения безопасности. Кроме того, пароль учетной записи должен быть установлен как не истечет.

ReportsReadOnlyAccessGroup

Тип: Group

Указывает группу пользователей домена, которая имеет разрешения на чтение отчетов. Указанная группа должна быть той же группой, которая используется для параметра ReportsReadOnlyAccessGroup в командлете Enable-MbamWebApplication .

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Тип: Group

Указывает группу пользователей домена, которая имеет доступ ко всем областям веб-сайта администрирования и мониторинга, кроме области Отчеты.

HelpdeskAccessGroup

Тип: Group

Указывает группу пользователей домена, которая имеет доступ к областям Управление TPM и Восстановление диска веб-сайта администрирования и мониторинга.

ReportsReadOnlyAccessGroup

Тип: Group

Указывает группу пользователей домена, которая имеет разрешение на чтение в области "Отчеты" веб-сайта администрирования и мониторинга. Указанная группа должна быть той же группой, которая используется для параметра ReportsReadOnlyAccessGroup в командлете Enable-MbamReport .

WebServiceApplicationPoolCredential

Тип: User

Указывает пользователя домена, который будет использоваться пулом приложений для веб-приложений MBAM. Это должна быть та же учетная запись пользователя домена, которая указана в параметре AccessAccount командлета Enable-MbamDatabase . Если группа пользователей домена использовалась параметром AccessAccount при выполнении командлета Enable-MbamDatabase , указанный здесь пользователь домена должен быть членом этой группы. Если не указать учетные данные администратора, используются учетные данные администратора, указанные любым ранее включенным веб-приложением. Все веб-приложения используют одно удостоверение пула приложений. Если он указан несколько раз, используется последнее указанное значение.

Важно.

Для повышения безопасности задайте для учетной записи, указанной в учетных данных администратора, ограниченные права пользователя. Кроме того, задайте пароль учетной записи так, чтобы срок действия не истекал. Убедитесь, что встроенная учетная запись IIS_IUSRS или учетная запись, используемая для параметра WebServiceApplicationPoolCredential , добавлена в параметр олицетворение клиента после проверки подлинности локальной безопасности.

Чтобы просмотреть локальный параметр безопасности, откройте редактор локальной политики безопасности, разверните узел Локальные политики , выберите узел Назначение прав пользователя , а затем дважды щелкните параметры политики Олицетворение клиента после проверки подлинности и Вход в группу пакетного задания в области сведений.

Связанные статьи

Настройка функций сервера MBAM 2.5

Проверка конфигурации компонентов сервера MBAM 2.5

Использование Windows PowerShell для администрирования MBAM 2.5