使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能
安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 伺服器軟體之後,您可以使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈來設定 MBAM 2.5 伺服器功能。 本文說明如何使用 Windows PowerShell Cmdlet 來設定 MBAM 2.5。 若要改用精靈, 請參閱設定 MBAM 2.5 伺服器功能。
如需用來管理 MBAM 的 Get-MbamBitLockerRecoveryKey 和 Get-MbamTPMOwnerPassword Windows PowerShell Cmdlet 的相關信息,請參閱 使用 Windows PowerShell 管理 MBAM 2.5。
如何載入 MBAM 2.5 的 Windows PowerShell 說明
如需 Windows PowerShell Cmdlet 的清單,請 參閱使用 Windows PowerShell Microsoft桌面優化套件自動化。
安裝 MBAM 伺服器軟體之後,載入 Windows PowerShell Cmdlet 的 MBAM 2.5 說明
(ISE) 開啟 Windows PowerShell 或 Windows PowerShell 整合式腳本環境。
類型
Update-Help -Module Microsoft.MBAM
如何取得 MBAM Windows PowerShell Cmdlet 的相關說明
適用於 MBAM 的 Windows PowerShell 說明提供下列格式:
- 在 Windows PowerShell 命令提示字元中,輸入
Get-Help <cmdlet>- 若要上傳最新的 Windows PowerShell Cmdlet,請遵循上一節中有關如何載入適用於 MBAM 的 Windows PowerShell 說明的指示。
- 開始使用 MDOP 自動化
- 下載 MDOP Cmdlet 參考檔
您只能使用 Windows PowerShell 執行,但無法使用 MBAM 伺服器組態精靈執行的設定
| 您只能使用 Windows PowerShell 執行的設定 | 詳細資料 |
|---|---|
| 在不同於 Web 應用程式的電腦上安裝 Web 服務。 | 使用精靈,您必須在相同的計算機上安裝 Web 服務和 Web 應用程式。 |
| 在個別的 Reporting Services 點上啟用報表,而不需安裝所有 Configuration Manager 物件。 | |
| 從 Configuration Manager 刪除所有物件。 | 接著刪除物件會從 Configuration Manager 中刪除所有合規性數據。 |
| 輸入資料庫的自定義連接字串。 | 範例:若要設定 Web 應用程式以使用鏡像,您必須使用 Enable-MbamWebApplication Cmdlet,在連接字串中指定適當的故障轉移夥伴語法。 |
| 即使必要條件檢查失敗,仍略過驗證並設定功能。 |
注意
您無法使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈停用 MBAM 資料庫。 若要防止意外移除您的合規性和稽核數據,資料庫管理員必須手動移除資料庫。
使用 Windows PowerShell 設定 MBAM 伺服器功能的必要條件和需求
開始設定之前,請先完成下列必要條件。
帳戶相關必要條件
| 先決條件 | 詳細數據或其他資訊 |
|---|---|
| 建立必要的帳戶。 | 請參閱本文稍後的 必要帳戶和對應的 Windows PowerShell Cmdlet 參數 一節。 |
| 您作為參數傳遞至 Windows PowerShell Cmdlet 的使用者帳戶和群組,必須是網域中的有效帳戶。 | 您無法使用本機帳戶。 |
| 以下層格式指定帳戶。 | 範例:domainNetBiosName\userdomainNetBiosName\group |
許可權相關的必要條件
- 您必須是設定 MBAM 功能之本機電腦上的系統管理員。
- 使用提升許可權的 Windows PowerShell 命令提示字元來執行所有 Windows PowerShell Cmdlet。
僅適用於 Enable-MbamDatabase Cmdlet:
- 您必須在目標Microsoft SQL Server 資料庫的實例上擁有「建立任何資料庫」許可權。
- 根據預設,資料庫管理員或系統管理員具有必要的「建立任何資料庫」許可權。
- 此使用者帳戶必須是本機系統管理員群組或備份操作員群組的一部分,才能註冊 MBAM 磁碟區陰影複製服務 (VSS) 寫入器。
- 如需 VSS 寫入器的詳細資訊,請參閱 磁碟區陰影複製服務。
僅針對 System Center Configuration Manager 整合 功能,啟用此功能的使用者在 Configuration Manager 中必須具有下列許可權:
| Configuration Manager 中的許可權類型 | 必要許可權 |
|---|---|
| Configuration Manager 月台許可權: | -讀 |
| Configuration Manager 集合許可權: | -創造 -刪除 -讀 -修改 - 部署設定專案 |
| Configuration Manager 組態項目許可權: | -創造 -刪除 -讀 |
使用 Windows PowerShell 在遠端電腦上設定 MBAM
| 功能 | 詳細資料 |
|---|---|
| 使用此功能的時機 | 當您想要在遠端電腦上設定 MBAM 2.5 伺服器功能時。 Windows PowerShell Cmdlet 正在一部電腦上執行,而您要在不同的遠端電腦上設定功能。 |
| 您必須執行的動作 | 若要使用 Windows PowerShell 在遠端電腦上設定 MBAM 2.5 伺服器功能,您必須:
|
| 為什麼您必須這麼做 | 此通訊協定可讓 Windows PowerShell Cmdlet 使用使用者的系統管理認證連線到 Active Directory 網域服務。 如果您在沒有此通訊協議的情況下啟動 Windows PowerShell 工作階段,可能會收到驗證錯誤。 |
| 如何使用 CredSSP 通訊協定啟動 Windows PowerShell 工作階段 | 在 Windows PowerShell 提示字元中輸入下列程式代碼:$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx下列程式代碼顯示範例: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
必要的帳戶和對應的 Windows PowerShell Cmdlet 參數
下列各節說明設定 MBAM 2.5 伺服器功能所需的帳戶。 它也會列出您必須在設定期間指定帳戶的對應 Windows PowerShell Cmdlet 和參數。
使用者或群組) 描述 (Cmdlet 參數類型
Enable-MBAMDatabase
AccessAccount
類型:使用者或群組
指定具有此資料庫讀取/寫入許可權的網域使用者或群組,讓 Web 應用程式能夠存取此資料庫中的數據和報表。 如果值是網域使用者,則執行 Enable-MbamWebApplicationCmdlet 時所使用的 WebServiceApplicationPoolCredential 參數必須使用相同的用戶帳戶。 如果值是網域使用者群組, 則WebServiceApplicationPoolCredential 參數所使用的網域帳戶必須是此群組的成員。
ReportAccount
類型:使用者或群組
指定具有此資料庫唯讀許可權的網域用戶或使用者群組,以提供MBAM報告對合規性和稽核數據的存取權。 如果值是網域使用者,則 Enable-MbamReportCmdlet 的 ComplianceAndAuditDBCredential 參數必須使用相同的用戶帳戶。 如果值是網域使用者群組,則 ComplianceAndAuditDBCredential 參數所使用的網域帳戶必須是此群組的成員。
Enable-MbamReport
ComplianceAndAuditDBCredential
類型:使用者
指定本機 SSRS 實例用來連線到 MBAM 合規性和稽核資料庫的系統管理認證。 系統管理認證中的網域用戶必須與用於 ReportAccount 參數的用戶帳戶相同,這會在執行 Enable-MbamDatabase Cmdlet 時使用。 如果網域使用者群組與 ReportAccount 參數搭配使用,此帳戶應該是該群組的成員。
重要
系統管理認證中指定的帳戶應具有有限的用戶權力,以提升安全性。 此外,帳戶的密碼應該設定為不會過期。
ReportsReadOnlyAccessGroup
類型:群組
指定具有報表讀取許可權的網域使用者群組。 指定的群組必須是 Enable-MbamWebApplication Cmdlet 中 ReportsReadOnlyAccessGroup 參數所使用的相同群組。
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
類型:群組
指定 [網域使用者] 群組,該群組可存取 [管理和監視網站] 區域以外的所有區域。報表區域除外。
HelpdeskAccessGroup
類型:群組
指定可存取管理與監視網站之 [管理 TPM 和 磁碟驅動器復原 ] 區域的網域使用者群組。
ReportsReadOnlyAccessGroup
類型:群組
指定具有 Administration and Monitoring Website [ 報告 ] 區域讀取許可權的網域使用者群組。 指定的群組必須與 Enable-MbamReport Cmdlet 中 ReportsReadOnlyAccessGroup 參數所使用的群組相同。
WebServiceApplicationPoolCredential
類型:使用者
指定應用程式集區要用於MBAM Web 應用程式的網域使用者。 它必須是 Enable-MbamDatabase Cmdlet 的 AccessAccount 參數中指定的相同網域用戶帳戶。 如果 AccessAccount 參數在執行 Enable-MbamDatabase Cmdlet 時使用網域使用者群組,則此處指定的網域用戶必須是該群組的成員。 如果您未指定系統管理認證,則會使用任何先前啟用的 Web 應用程式所指定的系統管理認證。 所有 Web 應用程式都會使用相同的應用程式集區身分識別。 如果多次指定,則會使用最近指定的值。
重要
為了改善安全性,請將系統管理認證中指定的帳戶設定為有限的用戶權力。 此外,請將帳戶的密碼設定為永不過期。 確定已在驗證本機安全性設定之後,將內建IIS_IUSRS帳戶或用於 WebServiceApplicationPoolCredential 參數的 帳戶新增至 模擬客戶 端。
若要檢視本機安全性設定,請開啟 [ 本機安全策略編輯器],展開 [ 本 機原則] 節點,選取 [ 用戶權力指派 ] 節點,然後在驗證之後按兩下 [ 模擬客戶 端],然後在詳細數據窗格中以 批次作業 組策略設定登入。