Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell
Después de instalar el software de servidor de Administración y supervisión de Microsoft BitLocker (MBAM) 2.5, puede configurar las características del servidor MBAM 2.5 mediante cmdlets de Windows PowerShell o el Asistente para configuración del servidor MBAM. En este artículo se describe cómo configurar MBAM 2.5 mediante los cmdlets de Windows PowerShell. Para usar el asistente en su lugar, consulte Configuración de las características del servidor de MBAM 2.5.
Para obtener información sobre los cmdlets de Windows PowerShell Get-MbamBitLockerRecoveryKey y Get-MbamTPMOwnerPassword , que se usan para administrar MBAM, consulte Uso de Windows PowerShell para administrar MBAM 2.5.
Cómo cargar la ayuda de Windows PowerShell para MBAM 2.5
Para obtener una lista de los cmdlets de Windows PowerShell, consulte Automatización de Microsoft Desktop Optimization Pack con Windows PowerShell.
Para cargar la ayuda de MBAM 2.5 para cmdlets de Windows PowerShell después de instalar el software de servidor MBAM
Abra Windows PowerShell o Windows PowerShell Integrated Scripting Environment (ISE).
Tipo
Update-Help -Module Microsoft.MBAM
Cómo obtener ayuda sobre un cmdlet de Windows PowerShell de MBAM
La ayuda de Windows PowerShell para MBAM está disponible en los siguientes formatos:
- En un símbolo del sistema de Windows PowerShell, escriba
Get-Help <cmdlet>- Para cargar los cmdlets de Windows PowerShell más recientes, siga las instrucciones de la sección anterior sobre cómo cargar la ayuda de Windows PowerShell para MBAM.
- Introducción a la automatización de MDOP
- Descarga de la documentación de referencia del cmdlet MDOP
Configuraciones que solo se pueden hacer con Windows PowerShell, pero no con el Asistente para configuración del servidor MBAM
| Configuraciones que solo puede hacer con Windows PowerShell | Detalles |
|---|---|
| Instale los servicios web en un equipo independiente de las aplicaciones web. | Con el asistente, debe instalar los servicios web y las aplicaciones web en el mismo equipo. |
| Habilite los informes en un punto de servicios de informes independiente sin instalar todos los objetos de Configuration Manager. | |
| Elimine todos los objetos de Configuration Manager. | Al eliminar los objetos, a su vez, se eliminan todos los datos de cumplimiento de Configuration Manager. |
| Escriba una cadena de conexión personalizada para las bases de datos. | Ejemplo: Para configurar las aplicaciones web para que funcionen con la creación de reflejo, debe usar el cmdlet Enable-MbamWebApplication para especificar la sintaxis de asociado de conmutación por error adecuada en la cadena de conexión. |
| Omita la validación y configure una característica aunque se haya producido un error en la comprobación de requisitos previos. |
Nota
No puede deshabilitar las bases de datos de MBAM con un cmdlet de Windows PowerShell o el Asistente para configuración del servidor MBAM. Para evitar la eliminación accidental de los datos de cumplimiento y auditoría, los administradores de bases de datos deben quitar manualmente las bases de datos.
Requisitos previos y requisitos para usar Windows PowerShell para configurar las características del servidor MBAM
Antes de iniciar la configuración, complete los siguientes requisitos previos.
Requisitos previos relacionados con la cuenta
| Prerrequisito | Detalles o información adicional |
|---|---|
| Cree las cuentas necesarias. | Consulte la sección Cuentas necesarias y los parámetros de cmdlet de Windows PowerShell correspondientes más adelante en este artículo. |
| Las cuentas de usuario y los grupos que se pasan como parámetros a los cmdlets de Windows PowerShell deben ser cuentas válidas en el dominio. | No puede usar cuentas locales. |
| Especifique cuentas en el formato de nivel inferior. | Ejemplos:domainNetBiosName\userdomainNetBiosName\group |
Requisitos previos relacionados con permisos
- Debe ser administrador en el equipo local donde va a configurar la característica MBAM.
- Use un símbolo del sistema de Windows PowerShell con privilegios elevados para ejecutar todos los cmdlets de Windows PowerShell.
Solo para el cmdlet Enable-MbamDatabase :
- Debe tener permisos de "crear cualquier base de datos" en la instancia de la base de datos de Microsoft SQL Server de destino.
- De forma predeterminada, el administrador de la base de datos o el administrador del sistema tiene los permisos necesarios para "crear cualquier base de datos".
- Esta cuenta de usuario debe formar parte del grupo de administradores locales o del grupo Operadores de copia de seguridad para registrar el escritor de MBAM Volume Shadow Copy Service (VSS).
- Para obtener más información sobre VSS Writer, vea Servicio de instantáneas de volumen.
Solo para la característica de integración de System Center Configuration Manager , el usuario que habilita esta característica debe tener estos derechos en Configuration Manager:
| Tipo de derechos en Configuration Manager | Derechos necesarios |
|---|---|
| Derechos de sitio de Configuration Manager: | -Leer |
| Derechos de colección de Configuration Manager: | -Crear -Borrar -Leer -Modificar - Implementar elementos de configuración |
| Derechos de elemento de configuración de Configuration Manager: | -Crear -Borrar -Leer |
Uso de Windows PowerShell para configurar MBAM en un equipo remoto
| Funcionalidad | Detalles |
|---|---|
| Cuándo usar esta funcionalidad | Si desea configurar las características del servidor MBAM 2.5 en un equipo remoto. Los cmdlets de Windows PowerShell se ejecutan en un equipo y se configuran las características en un equipo remoto diferente. |
| Lo que tienes que hacer | Para usar Windows PowerShell para configurar las características de MBAM 2.5 Server en un equipo remoto, debe:
|
| ¿Por qué tienes que hacerlo? | Este protocolo permite que los cmdlets de Windows PowerShell se conecten a Active Directory Domain Services mediante las credenciales administrativas del usuario. Es posible que obtenga un error de validación si inicia la sesión de Windows PowerShell sin este protocolo. |
| Cómo iniciar una sesión de Windows PowerShell con el protocolo CredSSP | Escriba el código siguiente en el símbolo del sistema de Windows PowerShell:$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxxEn el código siguiente se muestra un ejemplo: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
Cuentas necesarias y parámetros de cmdlet de Windows PowerShell correspondientes
En las secciones siguientes se describen las cuentas necesarias para configurar las características de servidor de MBAM 2.5. También muestra el cmdlet y el parámetro de Windows PowerShell correspondientes para los que tiene que especificar la cuenta durante la configuración.
Descripción del tipo de parámetro cmdlet (usuario o grupo)
Enable-MBAMDatabase
AccessAccount
Tipo: Usuario o grupo
Especifique un usuario o grupo de dominio que tenga permiso de lectura y escritura para esta base de datos para proporcionar a las aplicaciones web acceso a los datos e informes de esta base de datos. Si el valor es un usuario de dominio, el parámetro WebServiceApplicationPoolCredential que se usa al ejecutar el cmdlet Enable-MbamWebApplication debe usar la misma cuenta de usuario. Si el valor es un grupo de usuarios de dominio, la cuenta de dominio que usa el parámetro WebServiceApplicationPoolCredential debe ser miembro de este grupo.
ReportAccount
Tipo: Usuario o grupo
Especifique un usuario de dominio o un grupo de usuarios que tenga permiso de solo lectura para esta base de datos para proporcionar a los informes de MBAM acceso a los datos de cumplimiento y auditoría. Si el valor es un usuario de dominio, el parámetro ComplianceAndAuditDBCredential del cmdlet Enable-MbamReport debe usar la misma cuenta de usuario. Si el valor es un grupo de usuarios de dominio, la cuenta de dominio que usa el parámetro ComplianceAndAuditDBCredential debe ser miembro de este grupo.
Enable-MbamReport
ComplianceAndAuditDBCredential
Tipo: Usuario
Especifica la credencial administrativa que usa la instancia local de SSRS para conectarse a la base de datos de cumplimiento y auditoría de MBAM. El usuario de dominio de la credencial administrativa debe ser el mismo que la cuenta de usuario que se usa para el parámetro ReportAccount , que se usa al ejecutar el cmdlet Enable-MbamDatabase . Si se usó un grupo de usuarios de dominio con el parámetro ReportAccount , esta cuenta debe ser miembro de ese grupo.
Importante
La cuenta especificada en las credenciales administrativas debe tener derechos de usuario limitados para mejorar la seguridad. Además, la contraseña de la cuenta debe establecerse en no expirar.
ReportsReadOnlyAccessGroup
Tipo: Group
Especifica el grupo de usuarios de dominio que tiene permisos de lectura para los informes. El grupo especificado debe ser el mismo grupo que se usa para el parámetro ReportsReadOnlyAccessGroup en el cmdlet Enable-MbamWebApplication .
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
Tipo: Group
Especifica el grupo usuarios del dominio que tiene acceso a todas las áreas del sitio web de administración y supervisión, excepto el área Informes.
HelpdeskAccessGroup
Tipo: Group
Especifica el grupo usuarios del dominio que tiene acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web de administración y supervisión.
ReportsReadOnlyAccessGroup
Tipo: Group
Especifica el grupo usuarios del dominio que tiene permiso de lectura para el área Informes del sitio web de administración y supervisión. El grupo especificado debe ser el mismo grupo que se usa para el parámetro ReportsReadOnlyAccessGroup en el cmdlet Enable-MbamReport .
WebServiceApplicationPoolCredential
Tipo: Usuario
Especifica el usuario de dominio que usará el grupo de aplicaciones para las aplicaciones web de MBAM. Debe ser la misma cuenta de usuario de dominio especificada en el parámetro AccessAccount del cmdlet Enable-MbamDatabase . Si el parámetro AccessAccount usó un grupo de usuarios de dominio al ejecutar el cmdlet Enable-MbamDatabase , el usuario de dominio especificado aquí debe ser miembro de ese grupo. Si no especifica las credenciales administrativas, se usarán las credenciales administrativas especificadas por cualquier aplicación web habilitada anteriormente. Todas las aplicaciones web usan la misma identidad de grupo de aplicaciones. Si se especifica varias veces, se usa el valor especificado más recientemente.
Importante
Para mejorar la seguridad, establezca la cuenta especificada en las credenciales administrativas en derechos de usuario limitados. Además, establezca la contraseña de la cuenta para que nunca expire. Asegúrese de que la cuenta de IIS_IUSRS integrada o la cuenta que se usa para el parámetro WebServiceApplicationPoolCredential se haya agregado a la opción Suplantar un cliente después de la autenticación de seguridad local.
Para ver la configuración de seguridad local, abra el editor de directivas de seguridad local, expanda el nodo Directivas locales , seleccione el nodo Asignación de derechos de usuario y, a continuación, haga doble clic en la configuración Suplantar un cliente después de la autenticación e Iniciar sesión como un grupo de trabajos por lotes en el panel de detalles.
Artículos relacionados
Configuración de las características del servidor de MBAM 2.5
Validación de la configuración de características de servidor de MBAM 2.5