共用方式為


規劃 MBAM 2.5 群組和帳戶

本文列出您必須在Active Directory網域服務中建立的角色和帳戶,以提供 Microsoft BitLocker Administration and Monitoring (MBAM) 資料庫、報表和 Web 應用程式的安全性和訪問許可權。 針對每個角色和帳戶,會提供 MBAM 伺服器組態精靈中的對應欄位。 如需對應至這些帳戶的 Windows PowerShell Cmdlet 和參數清單,請參閱 使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能

注意

MBAM 不支援使用受控服務帳戶。

資料庫帳戶

為合規性與稽核資料庫和復原資料庫建立下列帳戶。

帳戶名稱和用途 帳戶類型 對應到此帳戶的 MBAM 伺服器設定精靈欄位 對應至此帳戶的 [MBAM 伺服器設定精靈] 欄位描述
報表的合規性與稽核資料庫和復原資料庫讀取/寫入使用者或群組 使用者或群組 讀取/寫入存取網域使用者或群組 具有合規性與稽核資料庫和復原資料庫讀取/寫入存取權的網域使用者或群組,可讓 Web 應用程式存取這些資料庫中的數據和報表。
如果您在此欄位中輸入使用者名稱,其值必須與 [設定 Web 應用程式] 頁面上 [Web 服務應用程式集區網域帳戶] 字段中的值相同。
如果您在此欄位中輸入組名,則 [設定 Web 應用程式] 頁面上的 [Web 服務應用程式集區網域帳戶] 字段中的值必須是您在此欄位中輸入之群組的成員。
報表的合規性和稽核資料庫唯讀使用者或群組 使用者或群組 唯讀存取網域使用者或群組 具有合規性和稽核資料庫唯讀存取權的使用者或群組名稱,可讓報表存取此資料庫中的合規性和稽核數據。
如果您在此欄位中輸入使用者名稱,它必須與您在 [設定報告] 頁面的 [ 合規性與稽核資料庫網域帳戶] 字 段中指定 使用者相同。
如果您在此欄位中輸入群組名稱,您在 [設定報告] 頁面的 [合規性與稽核資料庫網域帳戶] 欄位中指定的值必須是您在此欄位中指定之群組的成員。

報告帳戶

為 [報表] 功能建立下列帳戶。

帳戶名稱/用途 帳戶類型 對應到此帳戶的 MBAM 伺服器設定精靈欄位 對應至此帳戶的 [MBAM 伺服器設定精靈] 欄位描述
報告只讀網域存取群組 群組 報告角色網域群組 指定具有 Administration and Monitoring Website 中報告唯讀存取權的網域使用者群組。 當 Web 應用程式啟用時,您指定的群組必須與您為報表只讀取群組參數指定的群組相同。
合規性和稽核資料庫網域用戶帳戶 使用者 合規性和稽核資料庫網域帳戶 本機 SQL Server Reporting Services 實例用來存取合規性和稽核資料庫的網域用戶帳戶和密碼。 此帳戶需要以 Batch 身分 入 SQL Server Reporting Services 伺服器的許可權。
如果您在 [設定資料庫] 頁面的 [只讀存取網域使用者或群組 ] 字段中輸入 值是使用者名稱,您必須在此欄位中輸入相同的值。
如果您在 [設定資料庫] 頁面的 [只讀存取網域使用者或群組 ] 字段中輸入 值是組名,您在此字段中輸入的值必須是該群組的成員。
將此帳戶的密碼設定為永不過期。 用戶帳戶應該能夠存取 MBAM 報表使用者群組可用的所有數據。

管理與監視網站 (技術支援中心) 帳戶

為 Administration and Monitoring Website 建立下列帳戶。

帳戶名稱/用途 帳戶類型 對應到此帳戶的 MBAM 伺服器設定精靈欄位 對應至此帳戶的 [MBAM 伺服器設定精靈] 欄位描述
Web 服務應用程式集區網域帳戶 使用者 Web 服務應用程式集區網域帳戶 Web 應用程式的應用程式集區所要使用的網域用戶帳戶。
如果您在 [設定資料庫] 頁面的 [讀取/寫入存取網域使用者或群組] 字段中輸入使用者名稱,則必須在此欄位中輸入相同的值。
如果您在 [設定資料庫] 頁面上的 [ 讀取/寫入存取網域使用者或群組 ] 欄位中輸入組名,您在此欄位中輸入 值必須是該群組的成員。
如果您未指定認證,則會使用針對任何先前啟用的 Web 應用程式所指定的認證。 所有 Web 應用程式都必須使用相同的應用程式集區認證。 如果您為不同的 Web 應用程式指定不同的認證,則會使用最近指定的值。
重要:若要改善安全性,請將認證中指定的帳戶設定為具有有限的用戶權力。
MBAM 進階技術服務人員使用者存取群組 群組 MBAM 進階技術服務人員使用者 網域使用者群組,其成員可存取 Administration and Monitoring Website 的所有復原區域。 具有此角色的使用者在協助用戶復原磁碟驅動器時,必須只輸入修復密鑰,而非使用者的網域和用戶名稱。 如果用戶同時是 MBAM Helpdesk Users 群組和 MBAM 進階技術服務人員使用者群組的成員,則 MBAM 進階技術服務台使用者群組許可權會覆寫 MBAM 技術服務人員群組許可權。
MBAM 技術服務人員使用者存取群組 群組 MBAM 技術服務人員使用者 網域使用者群組,其成員可存取 MBAM Administration and Monitoring Website 的管理 TPM 和磁碟驅動器復原區域。 具有此角色的個人在使用任一選項時,必須填入所有欄位,包括使用者的網域和帳戶名稱。
如果用戶同時是 MBAM Helpdesk Users 群組和 MBAM 進階技術服務人員使用者群組的成員,則 MBAM 進階技術服務台使用者群組許可權會覆寫 MBAM 技術服務人員群組許可權。
MBAM 報表使用者存取群組 群組 MBAM 報表使用者 網域使用者群組,其成員在 Administration and Monitoring Website 的 [報表] 區域中具有報表的只讀存取權。
MBAM 資料遷移使用者群組 群組 MBAM 資料遷移使用者 選擇性網域使用者群組,其成員有權使用在 MBAM 伺服器上執行的 MBAM 復原和硬體服務,將數據寫入 MBAM。 此帳戶會與 Write-Mbam* Cmdlet 搭配使用,以將 Active Directory 的復原和 TPM 數據寫入 MBAM 資料庫。
如需詳細資訊,請參閱 MBAM 2.5 安全性考慮

準備 MBAM 2.5 的環境

獨立和 Configuration Manager 整合拓撲的 MBAM 2.5 伺服器必要條件