Konfigurieren von MBAM 2.5-Serverfunktionen mit Windows PowerShell
Letzte Aktualisierung: Oktober 2014
Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Wenn Sie die MBAM 2,5-Serversoftware installiert haben, können Sie MBAM 2,5-Serverfunktionen mit Windows PowerShell-Cmdlets oder dem Konfigurations-Assistenten für MBAM-Server konfigurieren. In diesem Thema erfahren Sie, wie Sie MBAM 2,5 mit Windows PowerShell-Cmdlets konfigurieren können. Wenn Sie stattdessen den Assistenten verwenden möchten, finden Sie dazu Informationen unter Konfigurieren der Serverfunktionen von MBAM 2.5.
Inhalt dieses Themas
Dieses Thema umfasst die folgenden Informationen zur Verwendung von Windows PowerShell zur Konfiguration von MBAM:
Gewusst wie: Laden der Windows PowerShell-Hilfe für MBAM 2.5
Gewusst wie: Abrufen der Hilfe zu einem MBAM-Windows PowerShell-Cmdlet
Konfigurationen, die nur mit Windows PowerShell, jedoch nicht mit dem Konfigurations-Assistenten für MBAM-Server vorgenommen werden können
Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zur Konfiguration von MBAM-Serverfunktionen
Verwenden von Windows PowerShell zur Konfiguration von MBAM auf einem Remotecomputer
Erforderliche Konten und zugehörige Windows PowerShell-Cmdletparameter
Informationen zu den Windows PowerShell-Cmdlets Get-MbamBitLockerRecoveryKey und Get-MbamTPMOwnerPassword, die zur Verwaltung von MBAM verwendet werden, finden Sie unter Verwalten von MBAM 2.5 mit Windows PowerShell.
Gewusst wie: Laden der Windows PowerShell-Hilfe für MBAM 2.5
Eine Liste der Windows PowerShell-Cmdlets auf TechNet finden Sie unter Microsoft Desktop Optimization Pack Automation with Windows PowerShell.
So laden Sie die MBAM 2,5-Hilfe für Windows PowerShell-Cmdlets nach Installation der MBAM-Serversoftware
Öffnen Sie Windows PowerShell oder Windows PowerShell Integrated Scripting Environment (ISE).
Geben Sie Update-Help –Module Microsoft.MBAM ein.
Gewusst wie: Abrufen der Hilfe zu einem MBAM-Windows PowerShell-Cmdlet
Die Windows PowerShell-Hilfe für MBAM ist in folgenden Formaten verfügbar:
Windows PowerShell-Hilfeformat | Weitere Informationen |
---|---|
Geben Sie in einem Windows PowerShell-Eingabeaufforderungsfenster Get-Help <cmdlet> ein. |
Um die neuesten Windows PowerShell-Cmdlets hochzuladen, folgen Sie den Anweisungen im vorherigen Abschnitt zum Laden der Windows PowerShell-Hilfe für MBAM. |
Auf TechNet als Websites |
https://technet.microsoft.com/de-de/library/dn720418.aspx |
Im Download Center als Word-Datei im Format .docx (in englischer Sprache) |
https://go.microsoft.com/fwlink/?LinkId=393497 |
Im Download Center als PDF-Datei (in englischer Sprache) |
https://go.microsoft.com/fwlink/?LinkId=393499 |
Konfigurationen, die nur mit Windows PowerShell, jedoch nicht mit dem Konfigurations-Assistenten für MBAM-Server vorgenommen werden können
Konfigurationen, die nur mit Windows PowerShellmöglich sind | Details |
---|---|
Installieren der Webdienste und Webanwendungen auf unterschiedlichen Computern |
Wenn Sie den Assistenten verwenden, müssen Sie Webdienste und Webanwendungen auf demselben Computer installieren. |
Aktivieren von Berichten an einem separaten Reporting Services-Punkt ohne Installation aller Configuration Manager-Objekte |
|
Löschen aller Configuration Manager-Objekte |
Werden die Objekte gelöscht, werden alle Konformitätsdaten vom Configuration Manager gelöscht. |
Eingeben einer benutzerdefinierten Verbindungszeichenfolge für die Datenbanken |
Beispiel: Um die Webanwendungen so zu konfigurieren, dass sie mit Spiegelung arbeiten, müssen Sie das Cmdlet Enable-MbamWebApplication verwenden. Damit geben Sie in der Verbindungszeichenfolge die passende Failoverpartnersyntax an. |
Überspringen der Überprüfung und Konfigurieren einer Funktion, auch wenn die Überprüfung der Voraussetzungen fehlgeschlagen ist |
Hinweis
Sie können die MBAM-Datenbanken mit einem Windows PowerShell-Cmdlet oder dem Konfigurationsassistenten für MBAM-Server nicht deaktivieren. Datenbankadministratoren müssen Datenbanken manuell entfernen, um zu verhindern, dass Konformitäts- und Überwachungsdaten unabsichtlich gelöscht werden.
Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zur Konfiguration von MBAM-Serverfunktionen
Schaffen Sie folgende Voraussetzungen, bevor Sie mit der Konfiguration beginnen.
Kontobezogene Voraussetzungen
Voraussetzung | Details oder zusätzliche Informationen |
---|---|
Erstellen Sie die erforderlichen Konten. |
Informationen hierzu finden Sie nachfolgend in diesem Thema im Abschnitt Erforderliche Konten und zugehörige Windows PowerShell-Cmdletparameter. |
Benutzerkonten und Gruppen, die Sie als Parameter der Windows PowerShell-Cmdlets übermitteln, müssen gültige Konten unter der Domäne sein. |
Sie können keine lokalen Konten verwenden. |
Geben Sie Konten im Downlevelformat an. |
Beispiele: domainNetBiosName\Benutzer |
Berechtigungsbezogene Voraussetzungen
Voraussetzung | Details oder zusätzliche Informationen | ||||||||
---|---|---|---|---|---|---|---|---|---|
Sie müssen für den lokalen Computer Administratorrechte besitzen, wenn Sie die MBAM-Funktion konfigurieren. |
|||||||||
Verwenden Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten, um alle Windows PowerShell-Cmdlets auszuführen. |
|||||||||
Nur für das Cmdlet Enable-MbamDatabase: Sie müssen über die Berechtigungen für "Beliebige Datenbank erstellen" in der Instanz der Microsoft SQL Server-Zieldatenbank verfügen. Dieses Benutzerkonto muss Teil der lokalen Gruppe "Administratoren" oder der Gruppe "Sicherungsoperatoren" sein, um den MBAM Volumeschattenkopie-Dienst (VSS)-Writer registrieren zu können. |
Standardmäßig verfügt der Datenbankadministrator oder der Systemadministrator über die erforderlichen Berechtigungen für "Beliebige Datenbank erstellen". Weitere Informationen zum VSS-Writer finden Sie unter Volume Shadow Copy Service. |
||||||||
Nur für die Funktion System Center Configuration Manager-Integration: Der Benutzer, der diese Funktion aktiviert, muss über folgende Rechte im Configuration Manager verfügen: |
|
Verwenden von Windows PowerShell zur Konfiguration von MBAM auf einem Remotecomputer
Verwendungszweck dieser Funktion |
Konfiguration der MBAM 2,5-Serverfunktionen auf einem Remotecomputer Die Windows PowerShell-Cmdlets werden auf einem Computer ausgeführt, und Sie konfigurieren die Funktionen auf einem anderen Computer (einem Remotecomputer). |
Vorgehensweise |
Wenn Sie Windows PowerShell verwenden möchten, um MBAM 2,5-Serverfunktionen auf einem Remotecomputer zu konfigurieren, ist Folgendes erforderlich:
|
Begründung |
Mit diesem Protokoll können die Windows PowerShell-Cmdlets eine Verbindung zu Active Directory-Domänendiensten herstellen, indem sie die Administratoranmeldeinformationen des Benutzers verwenden. Möglicherweise wird ein Überprüfungsfehler angezeigt, wenn Sie die Windows PowerShell-Sitzung ohne dieses Protokoll starten. |
Gewusst wie: Starten einer Windows PowerShell-Sitzung mit dem CredSSP-Protokoll |
Geben Sie den folgenden Code in die Windows PowerShell-Eingabeaufforderung ein:
Der folgende Code zeigt ein Beispiel.
|
Erforderliche Konten und zugehörige Windows PowerShell-Cmdletparameter
In der folgenden Tabelle werden die Konten beschrieben, die für die Konfiguration von MBAM 2,5-Serverfunktionen erforderlich sind. Außerdem werden die zugehörigen Windows PowerShell-Cmdlets und Parameter aufgelistet, für die Sie das Konto während der Konfiguration festlegen müssen.
Cmdlet | Parameter | Typ (Benutzer oder Gruppe) | Beschreibung | ||
---|---|---|---|---|---|
Enable-MBAMDatabase |
AccessAccount |
Benutzer oder Gruppe |
Geben Sie einen Domänenbenutzer oder eine Gruppe an, der/die über Lese-/Schreibzugriff für diese Datenbank verfügt, um den Webanwendungen Zugriff auf Daten und Berichte in dieser Datenbank zu gewähren. Wenn der Wert ein Domänenbenutzer ist, dann muss der Parameter WebServiceApplicationPoolCredential, der während der Ausführung des Cmdlets Enable-MbamWebApplication verwendet wird, dasselbe Benutzerkonto verwenden. Wenn der Wert eine Domänenbenutzergruppe ist, dann muss das Domänenkonto, das vom Parameter WebServiceApplicationPoolCredential verwendet wird, ein Mitglied dieser Gruppe sein. |
||
ReportAccount |
Benutzer oder Gruppe |
Geben Sie einen Domänenbenutzer oder eine Benutzergruppe an, die nur über Lesezugriff für diese Datenbank verfügt, um den MBAM-Berichten Zugriff auf Konformitäts- und Überwachungsdaten zu gewähren. Wenn der Wert ein Domänenbenutzer ist, dann muss der Parameter ComplianceAndAuditDBCredential des Cmdlets Enable-MbamReport dasselbe Benutzerkonto verwenden. Wenn der Wert eine Domänenbenutzergruppe ist, dann muss das Domänenkonto, das vom Parameter ComplianceAndAuditDBCredential verwendet wird, ein Mitglied dieser Gruppe sein. |
|||
Enable-MbamReport |
ComplianceAndAuditDBCredential |
Benutzer |
Dies gibt die Administratoranmeldeinformationen an, welche die lokale SSRS-Instanz verwendet, um eine Verbindung zur MBAM-Konformitäts- und Überwachungsdatenbank herzustellen. Der Domänenbenutzer in den Administratoranmeldeinformationen muss derselbe sein wie das Benutzerkonto, das für den Parameter ReportAccount verwendet wird, der benutzt wird, wenn das Cmdlet Enable-MbamDatabase ausgeführt wird. Wenn eine Domänenbenutzergruppe mit dem Parameter ReportAccount verwendet wurde, sollte dieses Konto Mitglied dieser Gruppe sein.
|
||
ReportsReadOnlyAccessGroup |
Gruppe |
Dies gibt die Domänenbenutzergruppe an, die über Leserechte für die Berichte verfügt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter ReportsReadOnlyAccessGroup im Cmdlet Enable-MbamWebApplication verwendet wird. |
|||
Enable-MBAMWebApplication |
|
|
|
||
AdvancedHelpdeskAccessGroup |
Gruppe |
Dies gibt die Domänenbenutzergruppe an, die Zugriff auf sämtliche Bereiche der Administration and Monitoring-Website besitzt, abgesehen vom Berichtsbereich. |
|||
HelpdeskAccessGroup |
Gruppe |
Dies gibt die Domänenbenutzergruppe an, die Zugriff auf die Bereiche TPM verwalten und Laufwerkswiederherstellung der Administration and Monitoring-Website besitzt. |
|||
ReportsReadOnlyAccessGroup |
Gruppe |
Dies gibt die Domänenbenutzergruppe an, die Lesezugriff auf den Bereich Berichte der Administration and Monitoring-Website besitzt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den Parameter ReportsReadOnlyAccessGroup im Cmdlet Enable-MbamReport verwendet wird. |
|||
WebServiceApplicationPoolCredential |
Benutzer |
Dies gibt den Domänenbenutzer an, der vom Anwendungspool für die MBAM-Webanwendungen verwendet wird. Es muss dasselbe Domänenbenutzerkonto sein, das im Parameter AccessAccount des Cmdlets Enable-MbamDatabase festgelegt ist. Wenn eine Domänenbenutzergruppe vom Parameter AccessAccount während der Ausführung des Cmdlets Enable-MbamDatabase verwendet wurde, muss der hier angegebene Domänenbenutzer Mitglied dieser Gruppe sein. Wenn Sie die Administratoranmeldeinformationen nicht angeben, werden die Administratoranmeldeinformationen verwendet, die bei einer beliebigen zuvor aktivierten Webanwendung verwendet wurden. Alle Webanwendungen verwenden dieselbe Anwendungspoolidentität. Wenn diese mehrfach angegeben ist, wird der zuletzt angegebene Wert verwendet.
|
Haben Sie einen Vorschlag für MBAM?
Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.
Siehe auch
Konzepte
Überprüfen der Konfiguration der MBAM 2.5-Serverfunktionen
Verwalten von MBAM 2.5 mit Windows PowerShell