Konfigurieren von MBAM 2.5 Serverfunktionen mithilfe von Windows PowerShell
Nachdem Sie die MBAM 2.5 Server-Software installiert haben, können Sie mbam 2.5-Serverfeatures mithilfe Windows PowerShell Cmdlets oder des Assistenten für die MBAM-Serverkonfiguration konfigurieren. In diesem Thema wird beschrieben, wie Mbam 2.5 mithilfe der Windows PowerShell-Cmdlets konfiguriert wird. Informationen zum Verwenden des Assistenten finden Sie unter Konfigurieren der Serverfeatures von MBAM 2.5.
Inhalt dieses Themas
Dieses Thema enthält die folgenden Informationen zur Verwendung von Windows PowerShell zum Konfigurieren von MBAM:
So erhalten Sie Hilfe zu einem MBAM-Windows PowerShell-Cmdlet
Konfigurieren von MBAM auf einem Remotecomputer mithilfe von Windows PowerShell
Erforderliche Konten und entsprechende Windows PowerShell Cmdlet-Parameter
Informationen zu den Cmdlets "Get-MbamBitLockerRecoveryKey" und "Get-MbamTPMOwnerPassword" Windows PowerShell, die zum Verwalten von MBAM verwendet werden, finden Sie unter Using Windows PowerShell to Administer MBAM 2.5.
So laden Sie Windows PowerShell Hilfe für MBAM 2.5
Eine Liste der Windows PowerShell Cmdlets auf TechNet finden Sie unter Microsoft Desktop Optimization Pack Automation with Windows PowerShell.
So laden Sie die MBAM 2.5-Hilfe für Windows PowerShell-Cmdlets nach der Installation der MBAM Server-Software
Öffnen Sie Windows PowerShell oder Windows PowerShell Integrated Scripting Environment (ISE).
Type Update-Help –Module Microsoft.MBAM.
So erhalten Sie Hilfe zu einem MBAM-Windows PowerShell-Cmdlet
Windows PowerShell Hilfe für MBAM ist in den folgenden Formaten verfügbar:
Windows PowerShell Hilfeformat | Weitere Informationen |
---|---|
Geben Sie an einer Windows PowerShell Eingabeaufforderungdas Cmdlet "Get-Help<" ein.> |
Um die neuesten Windows PowerShell-Cmdlets hochzuladen, folgen Sie den Anweisungen im vorherigen Abschnitt zum Laden Windows PowerShell Hilfe für MBAM. |
Auf TechNet als Webseiten |
|
Im Download Center als Word-.docx-Datei |
|
Im Download Center als .pdf Datei |
Konfigurationen, die nur mit Windows PowerShell, aber nicht mit dem Assistenten für die MBAM-Serverkonfiguration möglich sind
Konfigurationen, die nur mithilfe von Windows PowerShell | Details |
---|---|
Installieren Sie die Webdienste auf einem separaten Computer von den Webanwendungen. |
Mithilfe des Assistenten müssen Sie die Webdienste und Webanwendungen auf demselben Computer installieren. |
Aktivieren Sie Berichte an einem separaten Berichterstellungsdienstpunkt, ohne alle Configuration Manager Objekte zu installieren. |
|
Löschen Sie alle Objekte aus Configuration Manager. |
Durch das Löschen der Objekte werden wiederum alle Compliancedaten aus Configuration Manager gelöscht. |
Geben Sie eine benutzerdefinierte Verbindungszeichenfolge für die Datenbanken ein. |
Beispiel: Um die Webanwendungen so zu konfigurieren, dass sie mit der Spiegelung arbeiten, müssen Sie das Cmdlet Enable-MbamWebApplication verwenden, um die entsprechende Failoverpartnersyntax in der Verbindungszeichenfolge anzugeben. |
Überspringen Sie die Überprüfung, und konfigurieren Sie ein Feature, obwohl die Voraussetzungsprüfung fehlgeschlagen ist. |
Hinweis Sie können die MBAM-Datenbanken nicht mit einem Windows PowerShell-Cmdlet oder dem Assistenten für die MBAM-Serverkonfiguration deaktivieren. Um das versehentliche Entfernen Ihrer Compliance- und Überwachungsdaten zu verhindern, müssen Datenbankadministratoren Datenbanken manuell entfernen.
Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zum Konfigurieren von MBAM-Serverfeatures
Bevor Sie die Konfiguration starten, müssen Sie die folgenden Voraussetzungen erfüllen.
Kontobezogene Voraussetzungen
Voraussetzung | Details oder zusätzliche Informationen |
---|---|
Erstellen Sie die erforderlichen Konten. |
Siehe Abschnitt Erforderliche Konten und entsprechende Windows PowerShell Cmdlet-Parameter weiter unten in diesem Thema. |
Benutzerkonten und Gruppen, die Sie als Parameter an die Windows PowerShell-Cmdlets übergeben, müssen gültige Konten in der Domäne sein. |
Sie können keine lokalen Konten verwenden. |
Geben Sie Konten im Abwärtsformat an. |
Beispiele: domainNetBiosName\userdomainNetBiosName\group |
Berechtigungsbezogene Voraussetzungen
Voraussetzung | Details oder zusätzliche Informationen | ||||||||
---|---|---|---|---|---|---|---|---|---|
Sie müssen ein Administrator auf dem lokalen Computer sein, auf dem Sie das MBAM-Feature konfigurieren. |
|||||||||
Verwenden Sie eine Eingabeaufforderung mit erhöhten Windows PowerShell, um alle Windows PowerShell Cmdlets auszuführen. |
|||||||||
Nur für das Cmdlet Enable-MbamDatabase : Sie müssen über Berechtigungen zum Erstellen einer beliebigen Datenbank für die Instanz der Microsoft SQL Server-Zieldatenbank verfügen. Dieses Benutzerkonto muss Teil der lokalen Administratorgruppe oder der Gruppe "Sicherungsoperatoren" sein, um den MBAM Volume Shadow Copy Service (VSS)-Writer zu registrieren. |
Standardmäßig verfügt der Datenbankadministrator oder Systemadministrator über die erforderlichen Berechtigungen zum Erstellen einer beliebigen Datenbank. Weitere Informationen zu VSS Writer finden Sie unter Volume Shadow Copy Service. |
||||||||
Nur für das System Center Configuration Manager-Integrationsfeature: Der Benutzer, der dieses Feature aktiviert, muss über die folgenden Rechte in Configuration Manager verfügen: |
|
Konfigurieren von MBAM auf einem Remotecomputer mithilfe von Windows PowerShell
Wann diese Funktion verwendet werden soll |
Wenn Sie die MBAM 2.5-Serverfeatures auf einem Remotecomputer konfigurieren möchten. Die Windows PowerShell-Cmdlets werden auf einem Computer ausgeführt, und Sie konfigurieren die Features auf einem anderen Remotecomputer. |
Was Sie tun müssen |
Um Windows PowerShell zum Konfigurieren von MBAM 2.5-Serverfeatures auf einem Remotecomputer zu verwenden, müssen Sie Folgendes ausführen:
|
Warum sie es tun müssen |
Dieses Protokoll ermöglicht es den Windows PowerShell-Cmdlets, mithilfe der Administratoranmeldeinformationen des Benutzers eine Verbindung mit Active Directory Domain Services herzustellen. Möglicherweise wird ein Überprüfungsfehler angezeigt, wenn Sie die Windows PowerShell-Sitzung ohne dieses Protokoll starten. |
So starten Sie eine Windows PowerShell-Sitzung mit dem CredSSP-Protokoll |
Geben Sie den folgenden Code an der Windows PowerShell Eingabeaufforderung ein:
Der folgende Code zeigt ein Beispiel.
|
Erforderliche Konten und entsprechende Windows PowerShell Cmdlet-Parameter
In der folgenden Tabelle werden die Konten beschrieben, die zum Konfigurieren von MBAM 2.5-Serverfeatures erforderlich sind. Außerdem werden das entsprechende Windows PowerShell Cmdlet und der Parameter aufgelistet, für die Sie das Konto während der Konfiguration angeben müssen.
Beschreibung des Cmdlet-Parametertyps (Benutzer oder Gruppe) Enable-MBAMDatabase
AccessAccount
Benutzer oder Gruppe
Geben Sie einen Domänenbenutzer oder eine Gruppe mit Lese-/Schreibberechtigung für diese Datenbank an, um den Webanwendungen Zugriff auf Daten und Berichte in dieser Datenbank zu gewähren. Wenn der Wert ein Domänenbenutzer ist, muss der Parameter "WebServiceApplicationPoolCredential ", der beim Ausführen des Cmdlets "Enable-MbamWebApplication " verwendet wird, dasselbe Benutzerkonto verwenden. Wenn der Wert eine Gruppe "Domänenbenutzer" ist, muss das Domänenkonto, das vom Parameter "WebServiceApplicationPoolCredential " verwendet wird, Mitglied dieser Gruppe sein.
ReportAccount
Benutzer oder Gruppe
Geben Sie einen Domänenbenutzer oder eine Gruppe "Benutzer" an, der/die über eine schreibgeschützte Berechtigung für diese Datenbank verfügt, um den MBAM-Berichten Zugriff auf die Compliance- und Überwachungsdaten zu gewähren. Wenn der Wert ein Domänenbenutzer ist, muss der Parameter "ComplianceAndAuditDBCredential " des Cmdlets "Enable-MbamReport" dasselbe Benutzerkonto verwenden. Wenn der Wert eine Gruppe "Domänenbenutzer" ist, muss das Domänenkonto, das vom Parameter "ComplianceAndAuditDBCredential " verwendet wird, Mitglied dieser Gruppe sein.
Enable-MbamReport
ComplianceAndAuditDBCredential
Benutzer
Gibt die administrativen Anmeldeinformationen an, die von der lokalen SSRS-Instanz zum Herstellen einer Verbindung mit der MBAM-Compliance- und Überwachungsdatenbank verwendet werden. Der Domänenbenutzer in den administratorlichen Anmeldeinformationen muss mit dem Benutzerkonto übereinstimmen, das für den Parameter "ReportAccount " verwendet wird, der beim Ausführen des Cmdlets "Enable-MbamDatabase " verwendet wird. Wenn eine Gruppe "Domänenbenutzer" mit dem Parameter "ReportAccount " verwendet wurde, sollte dieses Konto Mitglied dieser Gruppe sein.
Wichtig Das in den Administratoranmeldeinformationen angegebene Konto sollte über eingeschränkte Benutzerrechte für erhöhte Sicherheit verfügen. Außerdem sollte das Kennwort des Kontos so festgelegt werden, dass es nicht abläuft.
ReportsReadOnlyAccessGroup
Gruppe
Gibt die Domänenbenutzergruppe mit Leseberechtigungen für die Berichte an. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter "ReportsReadOnlyAccessGroup " im Cmdlet "Enable-MbamWebApplication " verwendet wird.
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
Gruppe
Gibt die Gruppe "Domänenbenutzer" an, die Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite mit Ausnahme des Berichtsbereichs hat.
HelpdeskAccessGroup
Gruppe
Gibt die Gruppe "Domänenbenutzer" an, die Zugriff auf die Bereiche "TPM verwalten " und " Laufwerkwiederherstellung" der Verwaltungs- und Überwachungswebsite hat.
ReportsReadOnlyAccessGroup
Gruppe
Gibt die Gruppe "Domänenbenutzer" an , die über Leseberechtigungen für den Berichtsbereich der Verwaltungs- und Überwachungswebsite verfügt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter "ReportsReadOnlyAccessGroup " im Cmdlet "Enable-MbamReport " verwendet wird.
WebServiceApplicationPoolCredential
Benutzer
Gibt den Domänenbenutzer an, der vom Anwendungspool für die MBAM-Webanwendungen verwendet werden soll. Es muss dasselbe Domänenbenutzerkonto sein, das im AccessAccount-Parameter des Cmdlets Enable-MbamDatabase angegeben ist. Wenn beim Ausführen des Cmdlets "Enable-MbamDatabase" eine Gruppe "Domain Users" vom Parameter "AccessAccount" verwendet wurde, muss der hier angegebene Domänenbenutzer Mitglied dieser Gruppe sein. Wenn Sie die Administratoranmeldeinformationen nicht angeben, werden die Administratoranmeldeinformationen verwendet, die von einer zuvor aktivierten Webanwendung angegeben wurden. Alle Webanwendungen verwenden die gleiche Anwendungspoolidentität. Wenn er mehrmals angegeben wird, wird der zuletzt angegebene Wert verwendet.
Wichtig Um die Sicherheit zu verbessern, legen Sie das in den Administratoranmeldeinformationen angegebene Konto auf eingeschränkte Benutzerrechte fest. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft. Stellen Sie sicher, dass entweder das integrierte IIS_IUSRS-Konto oder das Konto, das für den WebServiceApplicationPoolCredential-Parameter verwendet wird, dem Client nach der lokalen Sicherheitseinstellung für die Authentifizierung hinzugefügt wurde.
Öffnen Sie zum Anzeigen der lokalen Sicherheitseinstellung den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten "Lokale Richtlinien", wählen Sie den Knoten "Benutzerberechtigungszuweisung" aus, und doppelklicken Sie dann nach der Authentifizierung auf den Client, und melden Sie sich als Batchauftrag an, Gruppenrichtlinie Einstellungen im Detailbereich.
Verwandte Themen
Konfigurieren der MBAM 2.5-Serverfunktionen
Überprüfen der Konfiguration von MBAM 2.5 Serverfunktionen
Verwenden von Windows PowerShell zum Verwalten von MBAM 2.5
Haben Sie einen Vorschlag für MBAM?
Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.