Planen der Gruppen und Konten für MBAM 2.5

Artikel
03/13/2023

In diesem Thema werden die Rollen und Konten aufgeführt, die Sie in Active Directory Domain Services (AD DS) erstellen müssen, um Sicherheits- und Zugriffsrechte für die Datenbanken, Berichte und Webanwendungen von Microsoft BitLocker Administration and Monitoring (MBAM) bereitzustellen. Für jede Rolle und jedes Konto wird das entsprechende Feld im Assistenten für die MBAM-Serverkonfiguration bereitgestellt. Eine Liste der Windows PowerShell Cmdlets und Parameter, die diesen Konten entsprechen, finden Sie unter Configuring MBAM 2.5 Server Features by Using Windows PowerShell.

Hinweis
MBAM unterstützt nicht die Verwendung von verwalteten Dienstkonten.

Datenbankkonten

Erstellen Sie die folgenden Konten für die Compliance- und Überwachungsdatenbank und die Wiederherstellungsdatenbank.

Kontoname und -zweck	Kontotyp	Feld des Assistenten für die MBAM-Serverkonfiguration, das diesem Konto entspricht	Beschreibung des Assistentenfelds für die MBAM-Serverkonfiguration, das diesem Konto entspricht
Compliance- und Überwachungsdatenbank und Wiederherstellungsdatenbank– Lese-/Schreibzugriff für Benutzer oder Gruppen für Berichte	Benutzer oder Gruppe	Lese-/Schreibzugriff für Domänenbenutzer oder -gruppe	Domänenbenutzer oder -gruppe mit Lese-/Schreibzugriff auf die Compliance- und Überwachungsdatenbank und die Wiederherstellungsdatenbank, damit die Webanwendungen auf die Daten und Berichte in diesen Datenbanken zugreifen können. Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss er dem Wert im Feld " Domänenkonto des Webdienstanwendungspools " auf der Seite " Webanwendungen konfigurieren" entsprechen. Wenn Sie einen Gruppennamen in dieses Feld eingeben, muss der Wert im Domänenkontofeld des Webdienstanwendungspools auf der Seite "Webanwendungen konfigurieren " ein Mitglied der Gruppe sein, die Sie in dieses Feld eingeben.
Compliance- und Überwachungsdatenbank schreibgeschützter Benutzer oder Gruppe für Berichte	Benutzer oder Gruppe	Schreibgeschützter Zugriff auf Domänenbenutzer oder -gruppe	Der Name des Benutzers oder der Gruppe, der schreibgeschützten Zugriff auf die Compliance- und Überwachungsdatenbank hat, damit die Berichte auf die Compliance- und Überwachungsdaten in dieser Datenbank zugreifen können. Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss es sich um denselben Benutzer handeln, den Sie im Feld " Compliance- und Überwachungsdatenbank-Domänenkonto " auf der Seite "Berichte konfigurieren" angeben. Wenn Sie einen Gruppennamen in dieses Feld eingeben, muss der Wert, den Sie im Feld "Compliance- und Überwachungsdatenbank-Domänenkonto " auf der Seite " Berichte konfigurieren" angeben, Mitglied der Gruppe sein, die Sie in diesem Feld angeben.

Kontoname und -zweck

Kontotyp

Feld des Assistenten für die MBAM-Serverkonfiguration, das diesem Konto entspricht

Beschreibung des Assistentenfelds für die MBAM-Serverkonfiguration, das diesem Konto entspricht

Compliance- und Überwachungsdatenbank und Wiederherstellungsdatenbank– Lese-/Schreibzugriff für Benutzer oder Gruppen für Berichte

Benutzer oder Gruppe

Lese-/Schreibzugriff für Domänenbenutzer oder -gruppe

Domänenbenutzer oder -gruppe mit Lese-/Schreibzugriff auf die Compliance- und Überwachungsdatenbank und die Wiederherstellungsdatenbank, damit die Webanwendungen auf die Daten und Berichte in diesen Datenbanken zugreifen können.

Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss er dem Wert im Feld " Domänenkonto des Webdienstanwendungspools " auf der Seite " Webanwendungen konfigurieren" entsprechen.

Wenn Sie einen Gruppennamen in dieses Feld eingeben, muss der Wert im Domänenkontofeld des Webdienstanwendungspools auf der Seite "Webanwendungen konfigurieren " ein Mitglied der Gruppe sein, die Sie in dieses Feld eingeben.

Compliance- und Überwachungsdatenbank schreibgeschützter Benutzer oder Gruppe für Berichte

Benutzer oder Gruppe

Schreibgeschützter Zugriff auf Domänenbenutzer oder -gruppe

Der Name des Benutzers oder der Gruppe, der schreibgeschützten Zugriff auf die Compliance- und Überwachungsdatenbank hat, damit die Berichte auf die Compliance- und Überwachungsdaten in dieser Datenbank zugreifen können.

Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss es sich um denselben Benutzer handeln, den Sie im Feld " Compliance- und Überwachungsdatenbank-Domänenkonto " auf der Seite "Berichte konfigurieren" angeben.

Wenn Sie einen Gruppennamen in dieses Feld eingeben, muss der Wert, den Sie im Feld "Compliance- und Überwachungsdatenbank-Domänenkonto " auf der Seite " Berichte konfigurieren" angeben, Mitglied der Gruppe sein, die Sie in diesem Feld angeben.

Berichtskonten

Erstellen Sie die folgenden Konten für das Feature "Berichte".

Kontoname/-zweck	Kontotyp	Feld des Assistenten für die MBAM-Serverkonfiguration, das diesem Konto entspricht	Beschreibung des Assistentenfelds für die MBAM-Serverkonfiguration, das diesem Konto entspricht
Meldet schreibgeschützte Domänenzugriffsgruppe	Gruppe	Berichtsrollendomänengruppe	Gibt die Domänenbenutzergruppe an, die schreibgeschützten Zugriff auf die Berichte auf der Verwaltungs- und Überwachungswebsite hat. Die von Ihnen angegebene Gruppe muss dieselbe Gruppe sein, die Sie für den Parameter "Schreibgeschützter Zugriffsgruppe für Berichte" angegeben haben, wenn die Web-Apps aktiviert sind.
Compliance- und Überwachungsdatenbank-Domänenbenutzerkonto	Benutzer	Compliance- und Überwachungsdatenbank-Domänenkonto	Domänenbenutzerkonto und Kennwort, das die lokale SQL Server Reporting Services Instanz für den Zugriff auf die Compliance- und Überwachungsdatenbank verwendet. Für dieses Konto sind "Als Batch anmelden"-Rechte für den SQL Server Reporting Services Server erforderlich. Wenn der Wert, den Sie im Feld " Domänenbenutzer oder -gruppe für schreibgeschützten Zugriff " auf der Seite "Datenbanken konfigurieren " eingeben, ein Benutzername ist, müssen Sie in dieses Feld denselben Wert eingeben. Wenn es sich bei dem Wert, den Sie im Feld " Domänenbenutzer oder -gruppe für schreibgeschützten Zugriff" auf der Seite "Datenbanken konfigurieren " eingeben, um einen Gruppennamen handelt, muss der Wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein. Konfigurieren Sie das Kennwort für dieses Konto so, dass es nie abläuft. Das Benutzerkonto sollte auf alle Daten zugreifen können, die für die Gruppe "Benutzer von MBAM-Berichten" verfügbar sind.

Kontoname/-zweck

Kontotyp

Feld des Assistenten für die MBAM-Serverkonfiguration, das diesem Konto entspricht

Beschreibung des Assistentenfelds für die MBAM-Serverkonfiguration, das diesem Konto entspricht

Meldet schreibgeschützte Domänenzugriffsgruppe

Gruppe

Berichtsrollendomänengruppe

Gibt die Domänenbenutzergruppe an, die schreibgeschützten Zugriff auf die Berichte auf der Verwaltungs- und Überwachungswebsite hat. Die von Ihnen angegebene Gruppe muss dieselbe Gruppe sein, die Sie für den Parameter "Schreibgeschützter Zugriffsgruppe für Berichte" angegeben haben, wenn die Web-Apps aktiviert sind.

Compliance- und Überwachungsdatenbank-Domänenbenutzerkonto

Benutzer

Compliance- und Überwachungsdatenbank-Domänenkonto

Domänenbenutzerkonto und Kennwort, das die lokale SQL Server Reporting Services Instanz für den Zugriff auf die Compliance- und Überwachungsdatenbank verwendet. Für dieses Konto sind "Als Batch anmelden"-Rechte für den SQL Server Reporting Services Server erforderlich.

Wenn der Wert, den Sie im Feld " Domänenbenutzer oder -gruppe für schreibgeschützten Zugriff " auf der Seite "Datenbanken konfigurieren " eingeben, ein Benutzername ist, müssen Sie in dieses Feld denselben Wert eingeben.

Wenn es sich bei dem Wert, den Sie im Feld " Domänenbenutzer oder -gruppe für schreibgeschützten Zugriff" auf der Seite "Datenbanken konfigurieren " eingeben, um einen Gruppennamen handelt, muss der Wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein.

Konfigurieren Sie das Kennwort für dieses Konto so, dass es nie abläuft. Das Benutzerkonto sollte auf alle Daten zugreifen können, die für die Gruppe "Benutzer von MBAM-Berichten" verfügbar sind.

Konten der Verwaltungs- und Überwachungswebsite (Helpdesk)

Erstellen Sie die folgenden Konten für die Verwaltungs- und Überwachungswebsite.

Kontoname/-zweck	Kontotyp	Feld des Assistenten für die MBAM-Serverkonfiguration, das diesem Konto entspricht	Beschreibung des Assistentenfelds für die MBAM-Serverkonfiguration, das diesem Konto entspricht
Domänenkonto des Webdienstanwendungspools	Benutzer	Domänenkonto des Webdienstanwendungspools	Domänenbenutzerkonto, das vom Anwendungspool für die Webanwendungen verwendet werden soll. Wenn Sie auf der Seite "Datenbanken konfigurieren" einen Benutzernamen in das Domänenbenutzer- oder Gruppenfeld für den Lese-/Schreibzugriff eingeben, müssen Sie in diesem Feld denselben Wert eingeben. Wenn Sie einen Gruppennamen in das Domänenbenutzer- oder Gruppenfeld "Lese-/Schreibzugriff " auf der Seite "Datenbanken konfigurieren " eingeben, muss der wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein. Wenn Sie keine Anmeldeinformationen angeben, werden die Anmeldeinformationen verwendet, die für eine zuvor aktivierte Webanwendung angegeben wurden. Alle Webanwendungen müssen dieselben Anmeldeinformationen für den Anwendungspool verwenden. Wenn Sie unterschiedliche Anmeldeinformationen für verschiedene Webanwendungen angeben, wird der zuletzt angegebene Wert verwendet. Wichtig Um die Sicherheit zu verbessern, legen Sie das in den Anmeldeinformationen angegebene Konto so fest, dass es über eingeschränkte Benutzerrechte verfügt.
Zugriffsgruppe für MBAM Advanced Helpdesk-Benutzer	Gruppe	MBAM Advanced Helpdesk-Benutzer	Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Wiederherstellungsbereiche der Verwaltungs- und Überwachungswebsite haben. Benutzer, die über diese Rolle verfügen, müssen nur den Wiederherstellungsschlüssel und nicht die Domäne und den Benutzernamen des Endbenutzers eingeben, wenn sie Endbenutzern dabei helfen, ihre Laufwerke wiederherzustellen. Wenn ein Benutzer Mitglied der Gruppe "MBAM Helpdesk Users" und der Gruppe "MBAM Advanced Helpdesk Users" ist, überschreiben die Gruppenberechtigungen für mbam Advanced Helpdesk Users die Berechtigungen der MBAM Helpdesk-Gruppe.
Zugriffsgruppe für MBAM-Helpdeskbenutzer	Gruppe	MBAM Helpdesk-Benutzer	Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche "TPM verwalten" und "Laufwerkwiederherstellung" der MBAM-Verwaltungs- und Überwachungswebsite haben. Personen, die diese Rolle haben, müssen alle Felder ausfüllen, einschließlich der Domäne und des Kontonamens des Endbenutzers, wenn sie beide Optionen verwenden. Wenn ein Benutzer Mitglied der Gruppe "MBAM Helpdesk Users" und der Gruppe "MBAM Advanced Helpdesk Users" ist, überschreiben die Gruppenberechtigungen für mbam Advanced Helpdesk Users die Berechtigungen der MBAM Helpdesk-Gruppe.
Zugriffsgruppe "MBAM-Berichtsbenutzer"	Gruppe	MBAM-Berichtsbenutzer	Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf die Berichte im Berichtsbereich der Verwaltungs- und Überwachungswebsite haben.
Benutzergruppe für die MBAM-Datenmigration	Gruppe	Benutzer der MBAM-Datenmigration	Optionale Domänenbenutzergruppe, deren Mitglieder über Berechtigungen zum Schreiben von Daten in MBAM mithilfe des auf dem MBAM-Server ausgeführten MBAM-Wiederherstellungs- und Hardwarediensts verfügen. Dieses Konto wird in der Regel mit den Write-Mbam*-Cmdlets verwendet, um Wiederherstellungs- und TPM-Daten aus Active Directory in die MBAM-Datenbank zu schreiben. Weitere Informationen finden Sie unter Sicherheitsüberlegungen in MBAM 2.5.

Vorbereiten der Umgebung für MBAM 2.5

Bereitstellungsvoraussetzungen für MBAM 2.5

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.

Planen der Gruppen und Konten für MBAM 2.5

Datenbankkonten

Berichtskonten

Konten der Verwaltungs- und Überwachungswebsite (Helpdesk)

Verwandte Themen

Haben Sie einen Vorschlag für MBAM?

Zusätzliche Ressourcen