安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 伺服器軟體之後,您可以使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈來設定 MBAM 2.5 伺服器功能。 本文說明如何使用 Windows PowerShell Cmdlet 來設定 MBAM 2.5。 若要改用精靈, 請參閱設定 MBAM 2.5 伺服器功能。
如需 Get-MbamBitLockerRecoveryKey 和 Get-MbamTPMOwnerPassword Windows PowerShell Cmdlet 的相關信息,請參閱使用 Windows PowerShell 管理 MBAM 2.5。
如何載入 MBAM 2.5 的 Windows PowerShell 說明
如需 Windows PowerShell Cmdlet 的清單,請參閱使用 Windows PowerShell Microsoft計算機優化套件自動化。
安裝 MBAM 伺服器軟體之後,載入適用於 Windows PowerShell Cmdlet 的 MBAM 2.5 說明
開啟 Windows PowerShell 或 Windows PowerShell 整合式腳本環境 (ISE) 。
類型
Update-Help -Module Microsoft.MBAM
如何取得 MBAM Windows PowerShell Cmdlet 的相關說明
Windows PowerShell MBAM 的說明提供下列格式:
- 在 Windows PowerShell 命令提示字元中,輸入
Get-Help <cmdlet>- 若要上傳最新的 Windows PowerShell Cmdlet,請遵循上一節中有關如何載入 MBAM Windows PowerShell 說明的指示。
- 開始使用 MDOP 自動化
- 下載 MDOP Cmdlet 參考檔
您只能使用 MBAM 伺服器組態精靈執行 Windows PowerShell 但無法使用 MBAM 伺服器設定精靈執行的設定
| 您只能使用 Windows PowerShell | 詳細資料 |
|---|---|
| 在不同於 Web 應用程式的電腦上安裝 Web 服務。 | 使用精靈,您必須在相同的計算機上安裝 Web 服務和 Web 應用程式。 |
| 在個別的 Reporting Services 點上啟用報表,而不需要安裝所有 Configuration Manager 物件。 | |
| 從 Configuration Manager 刪除所有物件。 | 接著刪除物件會從 Configuration Manager 刪除所有合規性數據。 |
| 輸入資料庫的自定義 連接字串。 | 範例:若要設定 Web 應用程式以使用鏡像,您必須在 連接字串 中使用 Enable-MbamWebApplication Cmdlet 來指定適當的故障轉移夥伴語法。 |
| 即使必要條件檢查失敗,仍略過驗證並設定功能。 |
注意
您無法使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈停用 MBAM 資料庫。 若要防止意外移除您的合規性和稽核數據,資料庫管理員必須手動移除資料庫。
使用 Windows PowerShell 設定 MBAM 伺服器功能的必要條件和需求
開始設定之前,請先完成下列必要條件。
帳戶相關必要條件
| 先決條件 | 詳細數據或其他資訊 |
|---|---|
| 建立必要的帳戶。 | 請參閱本文稍後的必要帳戶和對應 Windows PowerShell Cmdlet 參數一節。 |
| 您作為參數傳遞給 Windows PowerShell Cmdlet 的用戶帳戶和群組,必須是網域中的有效帳戶。 | 您無法使用本機帳戶。 |
| 以下層格式指定帳戶。 | 範例:domainNetBiosName\userdomainNetBiosName\group |
許可權相關的必要條件
- 您必須是設定 MBAM 功能之本機電腦上的系統管理員。
- 使用提升許可權 Windows PowerShell 命令提示字元來執行所有 Windows PowerShell Cmdlet。
僅適用於 Enable-MbamDatabase Cmdlet:
- 您必須擁有目標Microsoft SQL Server 資料庫實例的「建立任何資料庫」許可權。
- 根據預設,資料庫管理員或系統管理員具有必要的「建立任何資料庫」許可權。
- 此使用者帳戶必須是本機系統管理員群組或備份作員群組的一部分,才能註冊 MBAM 磁碟區陰影複製服務 (VSS) 寫入器。
- 如需 VSS 寫入器的詳細資訊,請參閱 磁碟區陰影複製服務。
僅針對 System Center Configuration Manager 整合功能,啟用此功能的用戶必須具有下列 Configuration Manager 許可權:
| Configuration Manager 中的許可權類型 | 必要許可權 |
|---|---|
| Configuration Manager 網站許可權: | -讀 |
| Configuration Manager 集合權限: | -創造 -刪除 -讀 -修改 - 部署設定專案 |
| Configuration Manager 設定項目權限: | -創造 -刪除 -讀 |
使用 Windows PowerShell 在遠端電腦上設定 MBAM
| 功能 | 詳細資料 |
|---|---|
| 使用此功能的時機 | 當您想要在遠端電腦上設定 MBAM 2.5 伺服器功能時。 Windows PowerShell Cmdlet 會在一部電腦上執行,而您要在不同的遠端電腦上設定功能。 |
| 您必須執行的動作 | 若要使用 Windows PowerShell 在遠端電腦上設定 MBAM 2.5 伺服器功能,您必須:
|
| 為什麼您必須這麼做 | 此通訊協定可讓 Windows PowerShell Cmdlet 使用使用者的系統管理認證連線到 Active Directory 網域服務。 如果您在沒有此通訊協議的情況下啟動 Windows PowerShell 工作階段,可能會收到驗證錯誤。 |
| 如何使用 CredSSP 通訊協定啟動 Windows PowerShell 工作話 | 在 Windows PowerShell 提示字元中輸入下列程式代碼:$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx下列程式代碼顯示範例: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
必要的帳戶和對應的 Windows PowerShell Cmdlet 參數
下列各節說明設定 MBAM 2.5 伺服器功能所需的帳戶。 它也會列出您必須在設定期間指定帳戶的對應 Windows PowerShell Cmdlet 和參數。
使用者或群組) 描述 (Cmdlet 參數類型
Enable-MBAMDatabase
AccessAccount
類型:使用者或群組
指定具有此資料庫讀取/寫入許可權的網域使用者或群組,讓 Web 應用程式能夠存取此資料庫中的數據和報表。 如果值是網域使用者,則執行 Enable-MbamWebApplicationCmdlet 時所使用的 WebServiceApplicationPoolCredential 參數必須使用相同的用戶帳戶。 如果值是網域使用者群組, 則WebServiceApplicationPoolCredential 參數所使用的網域帳戶必須是此群組的成員。
ReportAccount
類型:使用者或群組
指定具有此資料庫唯讀許可權的網域用戶或使用者群組,以提供MBAM報告對合規性和稽核數據的存取權。 如果值是網域使用者,則 Enable-MbamReportCmdlet 的 ComplianceAndAuditDBCredential 參數必須使用相同的用戶帳戶。 如果值是網域使用者群組,則 ComplianceAndAuditDBCredential 參數所使用的網域帳戶必須是此群組的成員。
Enable-MbamReport
ComplianceAndAuditDBCredential
類型:使用者
指定本機 SSRS 實例用來連線到 MBAM 合規性和稽核資料庫的系統管理認證。 系統管理認證中的網域用戶必須與用於 ReportAccount 參數的用戶帳戶相同,這會在執行 Enable-MbamDatabase Cmdlet 時使用。 如果網域使用者群組與 ReportAccount 參數搭配使用,此帳戶應該是該群組的成員。
重要
系統管理認證中指定的帳戶應具有有限的用戶權力,以提升安全性。 此外,帳戶的密碼應該設定為不會過期。
ReportsReadOnlyAccessGroup
類型:群組
指定具有報表讀取許可權的網域使用者群組。 指定的群組必須是 Enable-MbamWebApplication Cmdlet 中 ReportsReadOnlyAccessGroup 參數所使用的相同群組。
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
類型:群組
指定 [網域使用者] 群組,該群組可存取 [管理和監視網站] 區域以外的所有區域。報表區域除外。
HelpdeskAccessGroup
類型:群組
指定可存取管理與監視網站之 [管理 TPM 和 磁碟驅動器復原 ] 區域的網域使用者群組。
ReportsReadOnlyAccessGroup
類型:群組
指定具有 Administration and Monitoring Website [ 報告 ] 區域讀取許可權的網域使用者群組。 指定的群組必須與 Enable-MbamReport Cmdlet 中 ReportsReadOnlyAccessGroup 參數所使用的群組相同。
WebServiceApplicationPoolCredential
類型:使用者
指定應用程式集區要用於MBAM Web 應用程式的網域使用者。 它必須是 Enable-MbamDatabase Cmdlet 的 AccessAccount 參數中指定的相同網域用戶帳戶。 如果 AccessAccount 參數在執行 Enable-MbamDatabase Cmdlet 時使用網域使用者群組,則此處指定的網域用戶必須是該群組的成員。 如果您未指定系統管理認證,則會使用任何先前啟用的 Web 應用程式所指定的系統管理認證。 所有 Web 應用程式都會使用相同的應用程式集區身分識別。 如果多次指定,則會使用最近指定的值。
重要
為了改善安全性,請將系統管理認證中指定的帳戶設定為有限的用戶權力。 此外,請將帳戶的密碼設定為永不過期。 確定已在驗證本機安全性設定之後,將內建IIS_IUSRS帳戶或用於 WebServiceApplicationPoolCredential 參數的 帳戶新增至 模擬客戶 端。
若要檢視本機安全性設定,請開啟 [ 本機安全策略編輯器],展開 [ 本 機原則] 節點,選取 [ 用戶權力指派 ] 節點,然後在驗證之後按兩下 [ 模擬客戶 端],然後在詳細數據窗格中以 批次作業 組策略設定登入。