Konfigurieren von MBAM 2.5 Serverfunktionen mithilfe von Windows PowerShell

Nachdem Sie die MBAM 2.5 Server-Software installiert haben, können Sie mbam 2.5-Serverfeatures mithilfe Windows PowerShell Cmdlets oder des Assistenten für die MBAM-Serverkonfiguration konfigurieren. In diesem Thema wird beschrieben, wie Mbam 2.5 mithilfe der Windows PowerShell-Cmdlets konfiguriert wird. Informationen zum Verwenden des Assistenten finden Sie unter Konfigurieren der Serverfeatures von MBAM 2.5.

Inhalt dieses Themas

Dieses Thema enthält die folgenden Informationen zur Verwendung von Windows PowerShell zum Konfigurieren von MBAM:

Informationen zu den Cmdlets "Get-MbamBitLockerRecoveryKey" und "Get-MbamTPMOwnerPassword" Windows PowerShell, die zum Verwalten von MBAM verwendet werden, finden Sie unter Using Windows PowerShell to Administer MBAM 2.5.

So laden Sie Windows PowerShell Hilfe für MBAM 2.5

Eine Liste der Windows PowerShell Cmdlets auf TechNet finden Sie unter Microsoft Desktop Optimization Pack Automation with Windows PowerShell.

So laden Sie die MBAM 2.5-Hilfe für Windows PowerShell-Cmdlets nach der Installation der MBAM Server-Software

  1. Öffnen Sie Windows PowerShell oder Windows PowerShell Integrated Scripting Environment (ISE).

  2. Type Update-Help –Module Microsoft.MBAM.

So erhalten Sie Hilfe zu einem MBAM-Windows PowerShell-Cmdlet

Windows PowerShell Hilfe für MBAM ist in den folgenden Formaten verfügbar:

Windows PowerShell Hilfeformat Weitere Informationen

Geben Sie an einer Windows PowerShell Eingabeaufforderungdas Cmdlet "Get-Help<" ein.>

Um die neuesten Windows PowerShell-Cmdlets hochzuladen, folgen Sie den Anweisungen im vorherigen Abschnitt zum Laden Windows PowerShell Hilfe für MBAM.

Auf TechNet als Webseiten

https://go.microsoft.com/fwlink/?LinkId=393498

Im Download Center als Word-.docx-Datei

https://go.microsoft.com/fwlink/?LinkId=393497

Im Download Center als .pdf Datei

https://go.microsoft.com/fwlink/?LinkId=393499

Konfigurationen, die nur mit Windows PowerShell, aber nicht mit dem Assistenten für die MBAM-Serverkonfiguration möglich sind

Konfigurationen, die nur mithilfe von Windows PowerShell Details

Installieren Sie die Webdienste auf einem separaten Computer von den Webanwendungen.

Mithilfe des Assistenten müssen Sie die Webdienste und Webanwendungen auf demselben Computer installieren.

Aktivieren Sie Berichte an einem separaten Berichterstellungsdienstpunkt, ohne alle Configuration Manager Objekte zu installieren.

Löschen Sie alle Objekte aus Configuration Manager.

Durch das Löschen der Objekte werden wiederum alle Compliancedaten aus Configuration Manager gelöscht.

Geben Sie eine benutzerdefinierte Verbindungszeichenfolge für die Datenbanken ein.

Beispiel: Um die Webanwendungen so zu konfigurieren, dass sie mit der Spiegelung arbeiten, müssen Sie das Cmdlet Enable-MbamWebApplication verwenden, um die entsprechende Failoverpartnersyntax in der Verbindungszeichenfolge anzugeben.

Überspringen Sie die Überprüfung, und konfigurieren Sie ein Feature, obwohl die Voraussetzungsprüfung fehlgeschlagen ist.

Hinweis Sie können die MBAM-Datenbanken nicht mit einem Windows PowerShell-Cmdlet oder dem Assistenten für die MBAM-Serverkonfiguration deaktivieren. Um das versehentliche Entfernen Ihrer Compliance- und Überwachungsdaten zu verhindern, müssen Datenbankadministratoren Datenbanken manuell entfernen.

Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zum Konfigurieren von MBAM-Serverfeatures

Bevor Sie die Konfiguration starten, müssen Sie die folgenden Voraussetzungen erfüllen.

Kontobezogene Voraussetzungen

Voraussetzung Details oder zusätzliche Informationen

Erstellen Sie die erforderlichen Konten.

Siehe Abschnitt Erforderliche Konten und entsprechende Windows PowerShell Cmdlet-Parameter weiter unten in diesem Thema.

Benutzerkonten und Gruppen, die Sie als Parameter an die Windows PowerShell-Cmdlets übergeben, müssen gültige Konten in der Domäne sein.

Sie können keine lokalen Konten verwenden.

Geben Sie Konten im Abwärtsformat an.

Beispiele:

domainNetBiosName\userdomainNetBiosName\group

Berechtigungsbezogene Voraussetzungen

Voraussetzung Details oder zusätzliche Informationen

Sie müssen ein Administrator auf dem lokalen Computer sein, auf dem Sie das MBAM-Feature konfigurieren.

Verwenden Sie eine Eingabeaufforderung mit erhöhten Windows PowerShell, um alle Windows PowerShell Cmdlets auszuführen.

Nur für das Cmdlet Enable-MbamDatabase :

Sie müssen über Berechtigungen zum Erstellen einer beliebigen Datenbank für die Instanz der Microsoft SQL Server-Zieldatenbank verfügen.

Dieses Benutzerkonto muss Teil der lokalen Administratorgruppe oder der Gruppe "Sicherungsoperatoren" sein, um den MBAM Volume Shadow Copy Service (VSS)-Writer zu registrieren.

Standardmäßig verfügt der Datenbankadministrator oder Systemadministrator über die erforderlichen Berechtigungen zum Erstellen einer beliebigen Datenbank.

Weitere Informationen zu VSS Writer finden Sie unter Volume Shadow Copy Service.

Nur für das System Center Configuration Manager-Integrationsfeature:

Der Benutzer, der dieses Feature aktiviert, muss über die folgenden Rechte in Configuration Manager verfügen:

Art der Rechte in Configuration Manager Erforderliche Rechte

Configuration Manager Websiterechte:

-Lesen

Configuration Manager Sammlungsrechte:

- Create- Delete- Read- Modify- Deploy Configuration Items

Configuration Manager-Konfigurationselementrechte:

- Create- Delete- Read

 

Konfigurieren von MBAM auf einem Remotecomputer mithilfe von Windows PowerShell

Wann diese Funktion verwendet werden soll

Wenn Sie die MBAM 2.5-Serverfeatures auf einem Remotecomputer konfigurieren möchten. Die Windows PowerShell-Cmdlets werden auf einem Computer ausgeführt, und Sie konfigurieren die Features auf einem anderen Remotecomputer.

Was Sie tun müssen

Um Windows PowerShell zum Konfigurieren von MBAM 2.5-Serverfeatures auf einem Remotecomputer zu verwenden, müssen Sie Folgendes ausführen:

  • Stellen Sie sicher, dass die MBAM 2.5-Serversoftware auf dem Remotecomputer installiert wurde.

  • Verwenden Sie das CredSSP-Protokoll (CredSSP) (Credential Security Support Provider), um die Windows PowerShell Sitzung zu öffnen.

  • Aktivieren Sie die Windows-Remoteverwaltung (WinRM). Wenn Sie WinRM nicht aktivieren und richtig konfigurieren, zeigt das cmdlet New-PSSession , das in dieser Tabelle beschrieben wird, einen Fehler an und beschreibt, wie das Problem behoben werden kann. Weitere Informationen zu WinRM finden Sie unter Verwenden der Windows-Remoteverwaltung.

Warum sie es tun müssen

Dieses Protokoll ermöglicht es den Windows PowerShell-Cmdlets, mithilfe der Administratoranmeldeinformationen des Benutzers eine Verbindung mit Active Directory Domain Services herzustellen. Möglicherweise wird ein Überprüfungsfehler angezeigt, wenn Sie die Windows PowerShell-Sitzung ohne dieses Protokoll starten.

So starten Sie eine Windows PowerShell-Sitzung mit dem CredSSP-Protokoll

Geben Sie den folgenden Code an der Windows PowerShell Eingabeaufforderung ein:

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

Der folgende Code zeigt ein Beispiel.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Erforderliche Konten und entsprechende Windows PowerShell Cmdlet-Parameter

In der folgenden Tabelle werden die Konten beschrieben, die zum Konfigurieren von MBAM 2.5-Serverfeatures erforderlich sind. Außerdem werden das entsprechende Windows PowerShell Cmdlet und der Parameter aufgelistet, für die Sie das Konto während der Konfiguration angeben müssen.

Beschreibung des Cmdlet-Parametertyps (Benutzer oder Gruppe) Enable-MBAMDatabase

AccessAccount

Benutzer oder Gruppe

Geben Sie einen Domänenbenutzer oder eine Gruppe mit Lese-/Schreibberechtigung für diese Datenbank an, um den Webanwendungen Zugriff auf Daten und Berichte in dieser Datenbank zu gewähren. Wenn der Wert ein Domänenbenutzer ist, muss der Parameter "WebServiceApplicationPoolCredential ", der beim Ausführen des Cmdlets "Enable-MbamWebApplication " verwendet wird, dasselbe Benutzerkonto verwenden. Wenn der Wert eine Gruppe "Domänenbenutzer" ist, muss das Domänenkonto, das vom Parameter "WebServiceApplicationPoolCredential " verwendet wird, Mitglied dieser Gruppe sein.

ReportAccount

Benutzer oder Gruppe

Geben Sie einen Domänenbenutzer oder eine Gruppe "Benutzer" an, der/die über eine schreibgeschützte Berechtigung für diese Datenbank verfügt, um den MBAM-Berichten Zugriff auf die Compliance- und Überwachungsdaten zu gewähren. Wenn der Wert ein Domänenbenutzer ist, muss der Parameter "ComplianceAndAuditDBCredential " des Cmdlets "Enable-MbamReport" dasselbe Benutzerkonto verwenden. Wenn der Wert eine Gruppe "Domänenbenutzer" ist, muss das Domänenkonto, das vom Parameter "ComplianceAndAuditDBCredential " verwendet wird, Mitglied dieser Gruppe sein.

Enable-MbamReport

ComplianceAndAuditDBCredential

Benutzer

Gibt die administrativen Anmeldeinformationen an, die von der lokalen SSRS-Instanz zum Herstellen einer Verbindung mit der MBAM-Compliance- und Überwachungsdatenbank verwendet werden. Der Domänenbenutzer in den administratorlichen Anmeldeinformationen muss mit dem Benutzerkonto übereinstimmen, das für den Parameter "ReportAccount " verwendet wird, der beim Ausführen des Cmdlets "Enable-MbamDatabase " verwendet wird. Wenn eine Gruppe "Domänenbenutzer" mit dem Parameter "ReportAccount " verwendet wurde, sollte dieses Konto Mitglied dieser Gruppe sein.

Wichtig Das in den Administratoranmeldeinformationen angegebene Konto sollte über eingeschränkte Benutzerrechte für erhöhte Sicherheit verfügen. Außerdem sollte das Kennwort des Kontos so festgelegt werden, dass es nicht abläuft.

ReportsReadOnlyAccessGroup

Gruppe

Gibt die Domänenbenutzergruppe mit Leseberechtigungen für die Berichte an. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter "ReportsReadOnlyAccessGroup " im Cmdlet "Enable-MbamWebApplication " verwendet wird.

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Gruppe

Gibt die Gruppe "Domänenbenutzer" an, die Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite mit Ausnahme des Berichtsbereichs hat.

HelpdeskAccessGroup

Gruppe

Gibt die Gruppe "Domänenbenutzer" an, die Zugriff auf die Bereiche "TPM verwalten " und " Laufwerkwiederherstellung" der Verwaltungs- und Überwachungswebsite hat.

ReportsReadOnlyAccessGroup

Gruppe

Gibt die Gruppe "Domänenbenutzer" an , die über Leseberechtigungen für den Berichtsbereich der Verwaltungs- und Überwachungswebsite verfügt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter "ReportsReadOnlyAccessGroup " im Cmdlet "Enable-MbamReport " verwendet wird.

WebServiceApplicationPoolCredential

Benutzer

Gibt den Domänenbenutzer an, der vom Anwendungspool für die MBAM-Webanwendungen verwendet werden soll. Es muss dasselbe Domänenbenutzerkonto sein, das im AccessAccount-Parameter des Cmdlets Enable-MbamDatabase angegeben ist. Wenn beim Ausführen des Cmdlets "Enable-MbamDatabase" eine Gruppe "Domain Users" vom Parameter "AccessAccount" verwendet wurde, muss der hier angegebene Domänenbenutzer Mitglied dieser Gruppe sein. Wenn Sie die Administratoranmeldeinformationen nicht angeben, werden die Administratoranmeldeinformationen verwendet, die von einer zuvor aktivierten Webanwendung angegeben wurden. Alle Webanwendungen verwenden die gleiche Anwendungspoolidentität. Wenn er mehrmals angegeben wird, wird der zuletzt angegebene Wert verwendet.

Wichtig Um die Sicherheit zu verbessern, legen Sie das in den Administratoranmeldeinformationen angegebene Konto auf eingeschränkte Benutzerrechte fest. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft. Stellen Sie sicher, dass entweder das integrierte IIS_IUSRS-Konto oder das Konto, das für den WebServiceApplicationPoolCredential-Parameter verwendet wird, dem Client nach der lokalen Sicherheitseinstellung für die Authentifizierung hinzugefügt wurde.

Öffnen Sie zum Anzeigen der lokalen Sicherheitseinstellung den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten "Lokale Richtlinien", wählen Sie den Knoten "Benutzerberechtigungszuweisung" aus, und doppelklicken Sie dann nach der Authentifizierung auf den Client, und melden Sie sich als Batchauftrag an, Gruppenrichtlinie Einstellungen im Detailbereich.

Konfigurieren der MBAM 2.5-Serverfunktionen

Überprüfen der Konfiguration von MBAM 2.5 Serverfunktionen

Verwenden von Windows PowerShell zum Verwalten von MBAM 2.5

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.