Configurazione delle funzionalità del server di MBAM 2.5 con Windows PowerShell
Dopo aver installato il software server MBAM 2.5, è possibile usare configurare le funzionalità del server MBAM 2.5 usando i cmdlet di Windows PowerShell o la Configurazione guidata server di MBAM. Questo argomento descrive come configurare MBAM 2.5 usando i cmdlet Windows PowerShell. Per usare la procedura guidata, vedere Configurazione delle funzionalità del server MBAM 2.5.
Contenuto dell'argomento
Questo argomento include le informazioni seguenti sull'uso di Windows PowerShell per configurare MBAM:
Come ottenere informazioni su un cmdlet di Windows PowerShell MBAM
Uso di Windows PowerShell per configurare MBAM in un computer remoto
Account obbligatori e parametri del cmdlet Windows PowerShell corrispondenti
Per informazioni sui cmdlet Get-MbamBitLockerRecoveryKey e Get-MbamTPMOwnerPassword Windows PowerShell, usati per amministrare MBAM, vedere Uso di Windows PowerShell per amministrare MBAM 2.5.
Come caricare Windows PowerShell Guida per MBAM 2.5
Per un elenco dei cmdlet Windows PowerShell in TechNet, vedere Automazione di Microsoft Desktop Optimization Pack con Windows PowerShell.
Per caricare la Guida di MBAM 2.5 per i cmdlet di Windows PowerShell dopo l'installazione del software del server MBAM
Aprire Windows PowerShell o Windows PowerShell ambiente di scripting integrato (ISE).
Digitare Update-Help –Module Microsoft.MBAM.
Come ottenere informazioni su un cmdlet di Windows PowerShell MBAM
Windows PowerShell Guida per MBAM è disponibile nei formati seguenti:
Windows PowerShell formato della Guida | Altre informazioni |
---|---|
Al prompt dei comandi di Windows PowerShell digitare get-help<cmdlet> |
Per caricare i cmdlet di Windows PowerShell più recenti, seguire le istruzioni nella sezione precedente su come caricare Windows PowerShell Guida per MBAM. |
In TechNet come pagine Web |
|
Nell'Area download come file di word .docx |
|
Nell'Area download come file di .pdf |
Configurazioni che è possibile eseguire solo con Windows PowerShell ma non con la Configurazione guidata server MBAM
Configurazioni che è possibile eseguire solo usando Windows PowerShell | Dettagli |
---|---|
Installare i servizi Web in un computer separato dalle applicazioni Web. |
Usando la procedura guidata, è necessario installare i servizi Web e le applicazioni Web nello stesso computer. |
Abilitare i report in un punto di Reporting Services separato senza installare tutti gli oggetti Configuration Manager. |
|
Eliminare tutti gli oggetti da Configuration Manager. |
L'eliminazione degli oggetti comporta l'eliminazione di tutti i dati di conformità da Configuration Manager. |
Immettere una stringa di connessione personalizzata per i database. |
Esempio: per configurare le applicazioni Web in modo che funzionino con il mirroring, è necessario usare il cmdlet Enable-MbamWebApplication per specificare la sintassi del partner di failover appropriata nella stringa di connessione. |
Ignorare la convalida e configurare una funzionalità anche se il controllo dei prerequisiti non è riuscito. |
Nota Non è possibile disabilitare i database MBAM con un cmdlet Windows PowerShell o la configurazione guidata del server MBAM. Per evitare la rimozione accidentale dei dati di conformità e controllo, gli amministratori di database devono rimuovere manualmente i database.
Prerequisiti e requisiti per l'uso di Windows PowerShell per configurare le funzionalità del server MBAM
Prima di avviare la configurazione, completare i prerequisiti seguenti.
Prerequisiti correlati all'account
Prerequisito | Dettagli o informazioni aggiuntive |
---|---|
Creare gli account necessari. |
Vedere la sezione Account obbligatori e parametri del cmdlet Windows PowerShell corrispondenti più avanti in questo argomento. |
Gli account utente e i gruppi passati come parametri ai cmdlet Windows PowerShell devono essere account validi nel dominio. |
Non è possibile usare gli account locali. |
Specificare gli account nel formato di livello inferiore. |
Esempi: domainNetBiosName\userdomainNetBiosName\group |
Prerequisiti correlati alle autorizzazioni
Prerequisito | Dettagli o informazioni aggiuntive | ||||||||
---|---|---|---|---|---|---|---|---|---|
È necessario essere un amministratore nel computer locale in cui si sta configurando la funzionalità MBAM. |
|||||||||
Usare un prompt dei comandi Windows PowerShell con privilegi elevati per eseguire tutti i cmdlet Windows PowerShell. |
|||||||||
Solo per il cmdlet Enable-MbamDatabase : È necessario disporre delle autorizzazioni "Crea qualsiasi database" per l'istanza del database microsoft SQL Server di destinazione. Questo account utente deve far parte del gruppo administrators locale o del gruppo Backup Operators per registrare il writer del servizio copia shadow del volume (VSS) di MBAM. |
Per impostazione predefinita, l'amministratore del database o l'amministratore di sistema dispone delle autorizzazioni necessarie per la creazione di qualsiasi database. Per altre informazioni su VSS Writer, vedere Servizio Copia shadow del volume. |
||||||||
Solo per la funzionalità di integrazione System Center Configuration Manager: L'utente che abilita questa funzionalità deve disporre di questi diritti in Configuration Manager: |
|
Uso di Windows PowerShell per configurare MBAM in un computer remoto
Quando usare questa funzionalità |
Quando si desidera configurare le funzionalità del server MBAM 2.5 in un computer remoto. I cmdlet Windows PowerShell sono in esecuzione in un computer e le funzionalità vengono configurate in un altro computer remoto. |
Cosa devi fare |
Per usare Windows PowerShell per configurare le funzionalità del server MBAM 2.5 in un computer remoto, è necessario:
|
Perché devi farlo |
Questo protocollo consente ai cmdlet Windows PowerShell di connettersi a Active Directory Domain Services usando le credenziali amministrative dell'utente. È possibile che venga visualizzato un errore di convalida se si avvia la sessione di Windows PowerShell senza questo protocollo. |
Come avviare una sessione di Windows PowerShell con il protocollo CredSSP |
Digitare il codice seguente al prompt Windows PowerShell:
Il codice seguente mostra un esempio.
|
Account obbligatori e parametri del cmdlet Windows PowerShell corrispondenti
Nella tabella seguente vengono descritti gli account necessari per configurare le funzionalità del server MBAM 2.5. Elenca anche il cmdlet e il parametro Windows PowerShell corrispondenti per cui è necessario specificare l'account durante la configurazione.
Descrizione del tipo di parametro cmdlet (utente o gruppo) Enable-MBAMDatabase
AccessAccount
Utente o gruppo
Specificare un utente o un gruppo di dominio che dispone dell'autorizzazione di lettura/scrittura per questo database per concedere alle applicazioni Web l'accesso ai dati e ai report in questo database. Se il valore è un utente di dominio, il parametro WebServiceApplicationPoolCredential utilizzato durante l'esecuzione del cmdlet Enable-MbamWebApplication deve usare lo stesso account utente. Se il valore è un gruppo utenti di dominio, l'account di dominio utilizzato dal parametro WebServiceApplicationPoolCredential deve essere un membro di questo gruppo.
ReportAccount
Utente o gruppo
Specificare un utente di dominio o un gruppo Utenti che dispone dell'autorizzazione di sola lettura per il database per fornire ai report MBAM l'accesso ai dati di conformità e controllo. Se il valore è un utente di dominio, il parametro ComplianceAndAuditDBCredential del cmdlet Enable-MbamReport deve usare lo stesso account utente. Se il valore è un gruppo utenti di dominio, l'account di dominio usato dal parametro ComplianceAndAuditDBCredential deve essere un membro di questo gruppo.
Enable-MbamReport
ComplianceAndAuditDBCredential
Utente
Specifica le credenziali amministrative usate dall'istanza SSRS locale per connettersi al database di conformità e controllo di MBAM. L'utente di dominio nelle credenziali amministrative deve corrispondere all'account utente usato per il parametro ReportAccount , usato durante l'esecuzione del cmdlet Enable-MbamDatabase . Se è stato usato un gruppo utenti di dominio con il parametro ReportAccount , questo account deve essere un membro di tale gruppo.
Importante L'account specificato nelle credenziali amministrative deve avere diritti utente limitati per una maggiore sicurezza. Inoltre, la password dell'account deve essere impostata su non scadere.
ReportsReadOnlyAccessGroup
Gruppo
Specifica il gruppo di utenti di dominio con autorizzazioni di lettura per i report. Il gruppo specificato deve essere lo stesso gruppo utilizzato per il parametro ReportsReadOnlyAccessGroup nel cmdlet Enable-MbamWebApplication .
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
Gruppo
Specifica il gruppo Utenti di dominio che ha accesso a tutte le aree del sito Web di amministrazione e monitoraggio, ad eccezione dell'area Report.
HelpdeskAccessGroup
Gruppo
Specifica il gruppo Utenti di dominio che ha accesso alle aree Gestisci TPM e Ripristino unità del sito Web amministrazione e monitoraggio.
ReportsReadOnlyAccessGroup
Gruppo
Specifica il gruppo Utenti di dominio che dispone dell'autorizzazione di lettura per l'area Report del sito Web di amministrazione e monitoraggio. Il gruppo specificato deve essere lo stesso gruppo utilizzato per il parametro ReportsReadOnlyAccessGroup nel cmdlet Enable-MbamReport .
WebServiceApplicationPoolCredential
Utente
Specifica l'utente di dominio che deve essere usato dal pool di applicazioni per le applicazioni Web MBAM. Deve essere lo stesso account utente di dominio specificato nel parametro AccessAccount del cmdlet Enable-MbamDatabase . Se un gruppo utenti di dominio è stato utilizzato dal parametro AccessAccount durante l'esecuzione del cmdlet Enable-MbamDatabase , l'utente di dominio specificato qui deve essere un membro di tale gruppo. Se non si specificano le credenziali amministrative, vengono usate le credenziali amministrative specificate da qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web usano la stessa identità del pool di applicazioni. Se viene specificato più volte, viene usato il valore specificato più di recente.
Importante Per una maggiore sicurezza, impostare l'account specificato nelle credenziali amministrative su diritti utente limitati. Impostare inoltre la password dell'account in modo che non scada mai. Assicurarsi che l'account IIS_IUSRS predefinito o l'account usato per il parametro WebServiceApplicationPoolCredential sia stato aggiunto all'impostazione Impersonate a client after authentication local security (Rappresenta un client dopo l'autenticazione della sicurezza locale).
Per visualizzare l'impostazione di sicurezza locale, aprire l'editor criteri di sicurezza locali, espandere il nodo Criteri locali, selezionare il nodo Assegnazione diritti utente e quindi fare doppio clic sulle impostazioni Impersonate a client after authentication (Rappresenta un client dopo l'autenticazione) e Log on as a batch job (Accedi come processo batch) Criteri di gruppo nel riquadro dei dettagli.
Argomenti correlati
Configurazione delle funzionalità server di MBAM 2.5
Convalida della configurazione delle funzionalità del server di MBAM 2.5
Uso di Windows PowerShell per l'amministrazione di MBAM 2.5
Hai un suggerimento per MBAM?
Per i problemi di MBAM, usare il forum technet di MBAM.