Планирование групп и учетных записей MBAM 2.5
В этой статье перечислены роли и учетные записи, которые необходимо создать в доменных службах Active Directory, чтобы обеспечить безопасность и права доступа для баз данных, отчетов и веб-приложений Microsoft BitLocker Administration and Monitoring (MBAM). Для каждой роли и учетной записи предоставляется соответствующее поле в мастере конфигурации сервера MBAM. Список командлетов и параметров Windows PowerShell, соответствующих этим учетным записям, см. в статье Настройка функций сервера MBAM 2.5 с помощью Windows PowerShell.
Примечание.
MBAM не поддерживает использование управляемых учетных записей служб.
Учетные записи базы данных
Создайте следующие учетные записи для базы данных соответствия и аудита и базы данных восстановления.
| Имя и назначение учетной записи | Тип учетной записи | Поле мастера настройки сервера MBAM, соответствующее этой учетной записи | Описание поля мастера конфигурации сервера MBAM, соответствующего этой учетной записи |
|---|---|---|---|
| Соответствие требованиям и аудит Базы данных и базы данных восстановления для чтения и записи пользователей или групп для отчетов | Пользователь или группа | Пользователь домена или группа доступа на чтение и запись | Пользователь или группа домена, которые имеют доступ на чтение и запись к базе данных соответствия и аудиту и базе данных восстановления, чтобы веб-приложения могли получать доступ к данным и отчетам в этих базах данных. Если ввести имя пользователя в этом поле, оно должно иметь то же значение, что и значение в поле учетная запись домена пула приложений веб-служб на странице Настройка веб-приложений . Если ввести имя группы в этом поле, значение в поле учетная запись домена пула приложений веб-служб на странице Настройка веб-приложений должно быть членом группы, введенной в этом поле. |
| Соответствие требованиям и аудиту пользователя или группы базы данных только для чтения для отчетов | Пользователь или группа | Доступ пользователя или группы домена только для чтения | Имя пользователя или группы, которые имеют доступ только для чтения к базе данных соответствия требованиям и аудиту, чтобы предоставить отчетам доступ к данным соответствия и аудита в этой базе данных. Если ввести имя пользователя в этом поле, оно должно быть тем же пользователем, что и пользователь, указанный в поле Учетная запись домена базы данных соответствия и аудита на странице Настройка отчетов . Если ввести имя группы в этом поле, значение, указанное в поле Учетная запись домена базы данных соответствия и аудита на странице Настройка отчетов , должно быть членом группы, указанной в этом поле. |
Учетные записи отчетов
Создайте следующие учетные записи для функции "Отчеты".
| Имя и назначение учетной записи | Тип учетной записи | Поле мастера настройки сервера MBAM, соответствующее этой учетной записи | Описание поля мастера конфигурации сервера MBAM, соответствующего этой учетной записи |
|---|---|---|---|
| Отчеты о группе доступа к домену только для чтения | Группа | Группа доменов ролей отчетов | Указывает группу пользователей домена, которая имеет доступ только для чтения к отчетам на веб-сайте администрирования и мониторинга. Указанная группа должна быть той же группой, что и для параметра Отчеты Только для чтения, если веб-приложения включены. |
| Учетная запись пользователя домена базы данных по соответствию и аудиту | Пользователь | Учетная запись домена базы данных по соответствию и аудиту | Учетная запись пользователя домена и пароль, которые локальный экземпляр sql Server Reporting Services использует для доступа к базе данных соответствия и аудита. Для этой учетной записи требуются права входа в пакетную службу на сервере СЛУЖБ SQL Server Reporting Services. Если значение, введенное в поле Пользователь или группа домена только для чтения на странице Настройка баз данных , является именем пользователя, необходимо ввести это же значение в этом поле. Если значение, введенное в поле пользователь домена или группа доступа только для чтения на странице Настройка баз данных , является именем группы, то значение, введенное в этом поле, должно быть членом этой группы. Настройте срок действия пароля для этой учетной записи так, чтобы срок действия не истекал. Учетная запись пользователя должна иметь доступ ко всем данным, доступным для группы пользователей отчетов MBAM. |
Учетные записи веб-сайта администрирования и мониторинга (служба поддержки)
Создайте следующие учетные записи для веб-сайта администрирования и мониторинга.
| Имя и назначение учетной записи | Тип учетной записи | Поле мастера настройки сервера MBAM, соответствующее этой учетной записи | Описание поля мастера конфигурации сервера MBAM, соответствующего этой учетной записи |
|---|---|---|---|
| Учетная запись домена пула приложений веб-служб | Пользователь | Учетная запись домена пула приложений веб-служб | Учетная запись пользователя домена, используемая пулом приложений для веб-приложений. Если вы введете имя пользователя в поле Пользователь домена или группа доступа для чтения и записи на странице Настройка баз данных , необходимо ввести это же значение в этом поле. Если ввести имя группы в поле Пользователь домена или группа для чтения и записи на странице Настройка баз данных , то значение, введенное в этом поле, должно быть членом этой группы. Если учетные данные не указаны, используются учетные данные, указанные для любого ранее включенного веб-приложения. Все веб-приложения должны использовать одни и те же учетные данные пула приложений. При указании разных учетных данных для разных веб-приложений используется последнее указанное значение. Важно! Для повышения безопасности задайте для учетной записи, указанной в учетных данных, ограниченные права пользователя. |
| Группа доступа для пользователей расширенной службы поддержки MBAM | Группа | MBAM Advanced Helpdesk Users | Группа пользователей домена, участники которой имеют доступ ко всем областям восстановления веб-сайта администрирования и мониторинга. Пользователи с этой ролью должны вводить только ключ восстановления, а не домен и имя пользователя, чтобы помочь конечным пользователям восстановить свои диски. Если пользователь является членом группы "Пользователи службы технической поддержки MBAM" и группы "Пользователи расширенной службы поддержки MBAM", разрешения группы "Пользователи расширенной службы поддержки MBAM" переопределяют разрешения группы поддержки MBAM. |
| Группа доступа "Пользователи службы поддержки MBAM" | Группа | Пользователи службы технической поддержки MBAM | Группа пользователей домена, члены которой имеют доступ к областям Управление доверенным платформенный платформенный модуль и восстановлением диска веб-сайта администрирования и мониторинга MBAM. Пользователи с этой ролью должны заполнить все поля, включая домен и имя учетной записи конечного пользователя, если они используют любой из вариантов. Если пользователь является членом группы "Пользователи службы технической поддержки MBAM" и группы "Пользователи расширенной службы поддержки MBAM", разрешения группы "Пользователи расширенной службы поддержки MBAM" переопределяют разрешения группы поддержки MBAM. |
| Группа доступа пользователей отчетов MBAM | Группа | Пользователи отчетов MBAM | Группа пользователей домена, члены которой имеют доступ только для чтения к отчетам в области Отчеты веб-сайта администрирования и мониторинга. |
| Группа пользователей миграции данных MBAM | Группа | Пользователи миграции данных MBAM | Необязательная группа пользователей домена, члены которой имеют разрешения на запись данных в MBAM с помощью службы восстановления и оборудования MBAM, запущенной на сервере MBAM. Эта учетная запись используется с Write-Mbam* командлетами для записи данных восстановления и TPM из Active Directory в базу данных MBAM.Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5. |