Condividi tramite

Configurazione delle funzionalità del server di MBAM 2.5 con Windows PowerShell

  • Articolo

Dopo aver installato il software server MBAM 2.5, è possibile usare configurare le funzionalità del server MBAM 2.5 usando i cmdlet di Windows PowerShell o la Configurazione guidata server di MBAM. Questo argomento descrive come configurare MBAM 2.5 usando i cmdlet Windows PowerShell. Per usare la procedura guidata, vedere Configurazione delle funzionalità del server MBAM 2.5.

Contenuto dell'argomento

Questo argomento include le informazioni seguenti sull'uso di Windows PowerShell per configurare MBAM:

Per informazioni sui cmdlet Get-MbamBitLockerRecoveryKey e Get-MbamTPMOwnerPassword Windows PowerShell, usati per amministrare MBAM, vedere Uso di Windows PowerShell per amministrare MBAM 2.5.

Come caricare Windows PowerShell Guida per MBAM 2.5

Per un elenco dei cmdlet Windows PowerShell in TechNet, vedere Automazione di Microsoft Desktop Optimization Pack con Windows PowerShell.

Per caricare la Guida di MBAM 2.5 per i cmdlet di Windows PowerShell dopo l'installazione del software del server MBAM

  1. Aprire Windows PowerShell o Windows PowerShell ambiente di scripting integrato (ISE).

  2. Digitare Update-Help –Module Microsoft.MBAM.

Come ottenere informazioni su un cmdlet di Windows PowerShell MBAM

Windows PowerShell Guida per MBAM è disponibile nei formati seguenti:

Windows PowerShell formato della Guida Altre informazioni

Al prompt dei comandi di Windows PowerShell digitare get-help<cmdlet>

Per caricare i cmdlet di Windows PowerShell più recenti, seguire le istruzioni nella sezione precedente su come caricare Windows PowerShell Guida per MBAM.

In TechNet come pagine Web

https://go.microsoft.com/fwlink/?LinkId=393498

Nell'Area download come file di word .docx

https://go.microsoft.com/fwlink/?LinkId=393497

Nell'Area download come file di .pdf

https://go.microsoft.com/fwlink/?LinkId=393499

Configurazioni che è possibile eseguire solo con Windows PowerShell ma non con la Configurazione guidata server MBAM

Configurazioni che è possibile eseguire solo usando Windows PowerShell Dettagli

Installare i servizi Web in un computer separato dalle applicazioni Web.

Usando la procedura guidata, è necessario installare i servizi Web e le applicazioni Web nello stesso computer.

Abilitare i report in un punto di Reporting Services separato senza installare tutti gli oggetti Configuration Manager.

Eliminare tutti gli oggetti da Configuration Manager.

L'eliminazione degli oggetti comporta l'eliminazione di tutti i dati di conformità da Configuration Manager.

Immettere una stringa di connessione personalizzata per i database.

Esempio: per configurare le applicazioni Web in modo che funzionino con il mirroring, è necessario usare il cmdlet Enable-MbamWebApplication per specificare la sintassi del partner di failover appropriata nella stringa di connessione.

Ignorare la convalida e configurare una funzionalità anche se il controllo dei prerequisiti non è riuscito.

Nota Non è possibile disabilitare i database MBAM con un cmdlet Windows PowerShell o la configurazione guidata del server MBAM. Per evitare la rimozione accidentale dei dati di conformità e controllo, gli amministratori di database devono rimuovere manualmente i database.

Prerequisiti e requisiti per l'uso di Windows PowerShell per configurare le funzionalità del server MBAM

Prima di avviare la configurazione, completare i prerequisiti seguenti.

Prerequisiti correlati all'account

Prerequisito Dettagli o informazioni aggiuntive

Creare gli account necessari.

Vedere la sezione Account obbligatori e parametri del cmdlet Windows PowerShell corrispondenti più avanti in questo argomento.

Gli account utente e i gruppi passati come parametri ai cmdlet Windows PowerShell devono essere account validi nel dominio.

Non è possibile usare gli account locali.

Specificare gli account nel formato di livello inferiore.

Esempi:

domainNetBiosName\userdomainNetBiosName\group

Prerequisiti correlati alle autorizzazioni

Prerequisito Dettagli o informazioni aggiuntive

È necessario essere un amministratore nel computer locale in cui si sta configurando la funzionalità MBAM.

Usare un prompt dei comandi Windows PowerShell con privilegi elevati per eseguire tutti i cmdlet Windows PowerShell.

Solo per il cmdlet Enable-MbamDatabase :

È necessario disporre delle autorizzazioni "Crea qualsiasi database" per l'istanza del database microsoft SQL Server di destinazione.

Questo account utente deve far parte del gruppo administrators locale o del gruppo Backup Operators per registrare il writer del servizio copia shadow del volume (VSS) di MBAM.

Per impostazione predefinita, l'amministratore del database o l'amministratore di sistema dispone delle autorizzazioni necessarie per la creazione di qualsiasi database.

Per altre informazioni su VSS Writer, vedere Servizio Copia shadow del volume.

Solo per la funzionalità di integrazione System Center Configuration Manager:

L'utente che abilita questa funzionalità deve disporre di questi diritti in Configuration Manager:
Tipo di diritti in Configuration Manager Diritti necessari

Configuration Manager diritti del sito:

-Leggere

Configuration Manager diritti di raccolta:

- Create- Delete- Read- Modify- Deploy Configuration Items

Configuration Manager diritti degli elementi di configurazione:

- Create- Delete- Read

 

Uso di Windows PowerShell per configurare MBAM in un computer remoto

Quando usare questa funzionalità

Quando si desidera configurare le funzionalità del server MBAM 2.5 in un computer remoto. I cmdlet Windows PowerShell sono in esecuzione in un computer e le funzionalità vengono configurate in un altro computer remoto.

Cosa devi fare

Per usare Windows PowerShell per configurare le funzionalità del server MBAM 2.5 in un computer remoto, è necessario:

  • Assicurarsi che il software server MBAM 2.5 sia stato installato nel computer remoto.

  • Usare il protocollo CredSSP (Credential Security Support Provider) per aprire la sessione di Windows PowerShell.

  • Abilitare Gestione remota Windows (WinRM). Se non si abilita WinRM e lo si configura correttamente, il cmdlet New-PSSession descritto in questa tabella visualizza un errore e descrive come risolvere il problema. Per altre informazioni su WinRM, vedere Uso di Gestione remota Windows.

Perché devi farlo

Questo protocollo consente ai cmdlet Windows PowerShell di connettersi a Active Directory Domain Services usando le credenziali amministrative dell'utente. È possibile che venga visualizzato un errore di convalida se si avvia la sessione di Windows PowerShell senza questo protocollo.

Come avviare una sessione di Windows PowerShell con il protocollo CredSSP

Digitare il codice seguente al prompt Windows PowerShell:

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

Il codice seguente mostra un esempio.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Account obbligatori e parametri del cmdlet Windows PowerShell corrispondenti

Nella tabella seguente vengono descritti gli account necessari per configurare le funzionalità del server MBAM 2.5. Elenca anche il cmdlet e il parametro Windows PowerShell corrispondenti per cui è necessario specificare l'account durante la configurazione.

Descrizione del tipo di parametro cmdlet (utente o gruppo) Enable-MBAMDatabase

AccessAccount

Utente o gruppo

Specificare un utente o un gruppo di dominio che dispone dell'autorizzazione di lettura/scrittura per questo database per concedere alle applicazioni Web l'accesso ai dati e ai report in questo database. Se il valore è un utente di dominio, il parametro WebServiceApplicationPoolCredential utilizzato durante l'esecuzione del cmdlet Enable-MbamWebApplication deve usare lo stesso account utente. Se il valore è un gruppo utenti di dominio, l'account di dominio utilizzato dal parametro WebServiceApplicationPoolCredential deve essere un membro di questo gruppo.

ReportAccount

Utente o gruppo

Specificare un utente di dominio o un gruppo Utenti che dispone dell'autorizzazione di sola lettura per il database per fornire ai report MBAM l'accesso ai dati di conformità e controllo. Se il valore è un utente di dominio, il parametro ComplianceAndAuditDBCredential del cmdlet Enable-MbamReport deve usare lo stesso account utente. Se il valore è un gruppo utenti di dominio, l'account di dominio usato dal parametro ComplianceAndAuditDBCredential deve essere un membro di questo gruppo.

Enable-MbamReport

ComplianceAndAuditDBCredential

Utente

Specifica le credenziali amministrative usate dall'istanza SSRS locale per connettersi al database di conformità e controllo di MBAM. L'utente di dominio nelle credenziali amministrative deve corrispondere all'account utente usato per il parametro ReportAccount , usato durante l'esecuzione del cmdlet Enable-MbamDatabase . Se è stato usato un gruppo utenti di dominio con il parametro ReportAccount , questo account deve essere un membro di tale gruppo.

Importante L'account specificato nelle credenziali amministrative deve avere diritti utente limitati per una maggiore sicurezza. Inoltre, la password dell'account deve essere impostata su non scadere.

ReportsReadOnlyAccessGroup

Gruppo

Specifica il gruppo di utenti di dominio con autorizzazioni di lettura per i report. Il gruppo specificato deve essere lo stesso gruppo utilizzato per il parametro ReportsReadOnlyAccessGroup nel cmdlet Enable-MbamWebApplication .

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Gruppo

Specifica il gruppo Utenti di dominio che ha accesso a tutte le aree del sito Web di amministrazione e monitoraggio, ad eccezione dell'area Report.

HelpdeskAccessGroup

Gruppo

Specifica il gruppo Utenti di dominio che ha accesso alle aree Gestisci TPM e Ripristino unità del sito Web amministrazione e monitoraggio.

ReportsReadOnlyAccessGroup

Gruppo

Specifica il gruppo Utenti di dominio che dispone dell'autorizzazione di lettura per l'area Report del sito Web di amministrazione e monitoraggio. Il gruppo specificato deve essere lo stesso gruppo utilizzato per il parametro ReportsReadOnlyAccessGroup nel cmdlet Enable-MbamReport .

WebServiceApplicationPoolCredential

Utente

Specifica l'utente di dominio che deve essere usato dal pool di applicazioni per le applicazioni Web MBAM. Deve essere lo stesso account utente di dominio specificato nel parametro AccessAccount del cmdlet Enable-MbamDatabase . Se un gruppo utenti di dominio è stato utilizzato dal parametro AccessAccount durante l'esecuzione del cmdlet Enable-MbamDatabase , l'utente di dominio specificato qui deve essere un membro di tale gruppo. Se non si specificano le credenziali amministrative, vengono usate le credenziali amministrative specificate da qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web usano la stessa identità del pool di applicazioni. Se viene specificato più volte, viene usato il valore specificato più di recente.

Importante Per una maggiore sicurezza, impostare l'account specificato nelle credenziali amministrative su diritti utente limitati. Impostare inoltre la password dell'account in modo che non scada mai. Assicurarsi che l'account IIS_IUSRS predefinito o l'account usato per il parametro WebServiceApplicationPoolCredential sia stato aggiunto all'impostazione Impersonate a client after authentication local security (Rappresenta un client dopo l'autenticazione della sicurezza locale).

Per visualizzare l'impostazione di sicurezza locale, aprire l'editor criteri di sicurezza locali, espandere il nodo Criteri locali, selezionare il nodo Assegnazione diritti utente e quindi fare doppio clic sulle impostazioni Impersonate a client after authentication (Rappresenta un client dopo l'autenticazione) e Log on as a batch job (Accedi come processo batch) Criteri di gruppo nel riquadro dei dettagli.

Configurazione delle funzionalità server di MBAM 2.5

Convalida della configurazione delle funzionalità del server di MBAM 2.5

Uso di Windows PowerShell per l'amministrazione di MBAM 2.5

Hai un suggerimento per MBAM?

Per i problemi di MBAM, usare il forum technet di MBAM.