Windows PowerShell을 사용하여 MBAM 2.5 서버 기능 구성
MBAM 2.5 서버 소프트웨어를 설치한 후 Windows PowerShell cmdlet 또는 MBAM 서버 구성 마법사를 사용하여 MBAM 2.5 서버 기능 구성을 사용할 수 있습니다. 이 항목에서는 Windows PowerShell cmdlet을 사용하여 MBAM 2.5를 구성하는 방법을 설명합니다. 대신 마법사를 사용하려면 MBAM 2.5 서버 기능 구성을 참조하세요.
이 항목의 내용
이 항목에는 Windows PowerShell 사용하여 MBAM을 구성하는 방법에 대한 다음 정보가 포함되어 있습니다.
MBAM을 관리하는 데 사용되는 Get-MbamBitLockerRecoveryKey 및 Get-MbamTPMOwnerPassword Windows PowerShell cmdlet에 대한 자세한 내용은 Windows PowerShell 사용하여 MBAM 2.5 관리를 참조하세요.
MBAM 2.5에 대한 Windows PowerShell 도움말을 로드하는 방법
TechNet의 Windows PowerShell cmdlet 목록은 Windows PowerShell 있는 Microsoft 데스크톱 최적화 팩 자동화를 참조하세요.
MBAM Server 소프트웨어를 설치한 후 Windows PowerShell cmdlet에 대한 MBAM 2.5 도움말을 로드하려면
Windows PowerShell 열거나 ISE(통합 스크립팅 환경)를 Windows PowerShell.
Update-Help –Module Microsoft.MBAM을 입력합니다.
MBAM Windows PowerShell cmdlet에 대한 도움말을 가져오는 방법
MBAM에 대한 Windows PowerShell 도움말은 다음 형식으로 제공됩니다.
| Windows PowerShell 도움말 형식 | 추가 정보 |
|---|---|
Windows PowerShell 명령 프롬프트에서 Get-Help<cmdlet을 입력합니다.> |
최신 Windows PowerShell cmdlet을 업로드하려면 MBAM에 대한 Windows PowerShell 도움말을 로드하는 방법에 대한 이전 섹션의 지침을 따릅니다. |
TechNet에서 웹 페이지로 |
|
다운로드 센터에서 Word .docx 파일로 사용 |
|
다운로드 센터에서 .pdf 파일로 사용 |
Windows PowerShell MBAM 서버 구성 마법사에서는 수행할 수 없는 구성
| Windows PowerShell 사용하여 수행할 수 있는 구성 | 세부 정보 |
|---|---|
웹 애플리케이션과 별도의 컴퓨터에 웹 서비스를 설치합니다. |
마법사를 사용하여 동일한 컴퓨터에 웹 서비스 및 웹 애플리케이션을 설치해야 합니다. |
모든 Configuration Manager 개체를 설치하지 않고 별도의 보고 서비스 지점에서 보고서를 사용하도록 설정합니다. |
|
Configuration Manager 모든 개체를 삭제합니다. |
개체를 차례로 삭제하면 Configuration Manager 모든 준수 데이터가 삭제됩니다. |
데이터베이스에 대한 사용자 지정 연결 문자열을 입력합니다. |
예: 미러링에서 작동하도록 웹 애플리케이션을 구성하려면 Enable-MbamWebApplication cmdlet을 사용하여 연결 문자열에 적절한 장애 조치(failover) 파트너 구문을 지정해야 합니다. |
필수 구성 요소 검사가 실패한 경우에도 유효성 검사를 건너뛰고 기능을 구성합니다. |
참고 Windows PowerShell cmdlet 또는 MBAM 서버 구성 마법사를 사용하여 MBAM 데이터베이스를 사용하지 않도록 설정할 수 없습니다. 실수로 규정 준수 및 감사 데이터가 제거되는 것을 방지하려면 데이터베이스 관리자가 데이터베이스를 수동으로 제거해야 합니다.
Windows PowerShell 사용하여 MBAM 서버 기능을 구성하기 위한 필수 구성 요소 및 요구 사항
구성을 시작하기 전에 다음 필수 구성 요소를 완료합니다.
계정 관련 필수 구성 요소
| 필수 구성 요소 | 세부 정보 또는 추가 정보 |
|---|---|
필요한 계정을 만듭니다. |
이 항목의 뒷부분에 있는 필수 계정 및 해당 Windows PowerShell cmdlet 매개 변수 섹션을 참조하세요. |
Windows PowerShell cmdlet에 매개 변수로 전달하는 사용자 계정 및 그룹은 도메인에서 유효한 계정이어야 합니다. |
로컬 계정은 사용할 수 없습니다. |
하위 수준 형식으로 계정을 지정합니다. |
예제: domainNetBiosName\userdomainNetBiosName\group |
사용 권한 관련 필수 구성 요소
| 필수 구성 요소 | 세부 정보 또는 추가 정보 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
MBAM 기능을 구성하는 로컬 컴퓨터의 관리자여야 합니다. |
|||||||||
관리자 권한 Windows PowerShell 명령 프롬프트를 사용하여 모든 Windows PowerShell cmdlet을 실행합니다. |
|||||||||
Enable-MbamDatabase cmdlet의 경우에만 다음을 수행합니다. 대상 Microsoft SQL Server 데이터베이스 인스턴스에 대한 "데이터베이스 만들기" 권한이 있어야 합니다. 이 사용자 계정은 MBAM VSS(볼륨 섀도 복사본 서비스) 기록기를 등록하려면 로컬 관리자 그룹 또는 Backup 연산자 그룹의 일부여야 합니다. |
기본적으로 데이터베이스 관리자 또는 시스템 관리자에게 필요한 "모든 데이터베이스 만들기" 권한이 있습니다. VSS 기록기에 대한 자세한 내용은 볼륨 섀도 복사본 서비스를 참조하세요. |
||||||||
System Center Configuration Manager 통합 기능의 경우에만 다음을 수행합니다. 이 기능을 사용하도록 설정하는 사용자는 Configuration Manager 이러한 권한이 있어야 합니다. |
|
Windows PowerShell 사용하여 원격 컴퓨터에서 MBAM 구성
이 기능을 사용하는 경우 |
원격 컴퓨터에서 MBAM 2.5 서버 기능을 구성하려는 경우 Windows PowerShell cmdlet은 한 컴퓨터에서 실행되고 있으며 다른 원격 컴퓨터에서 기능을 구성하고 있습니다. |
수행해야 할 일 |
Windows PowerShell 사용하여 원격 컴퓨터에서 MBAM 2.5 서버 기능을 구성하려면 다음을 수행해야 합니다.
|
이 작업을 수행해야 하는 이유 |
이 프로토콜을 사용하면 Windows PowerShell cmdlet이 사용자의 관리 자격 증명을 사용하여 Active Directory Domain Services 연결할 수 있습니다. 이 프로토콜 없이 Windows PowerShell 세션을 시작하면 유효성 검사 오류가 발생할 수 있습니다. |
CredSSP 프로토콜을 사용하여 Windows PowerShell 세션을 시작하는 방법 |
Windows PowerShell 프롬프트에 다음 코드를 입력합니다.
다음 코드에서는 예를 보여 줍니다.
|
필수 계정 및 해당 Windows PowerShell cmdlet 매개 변수
다음 표에서는 MBAM 2.5 서버 기능을 구성하는 데 필요한 계정에 대해 설명합니다. 또한 구성 중에 계정을 지정해야 하는 해당 Windows PowerShell cmdlet 및 매개 변수를 나열합니다.
cmdlet 매개 변수 형식(사용자 또는 그룹) 설명 Enable-MBAMDatabase
AccessAccount
사용자 또는 그룹
이 데이터베이스에 대한 읽기/쓰기 권한이 있는 도메인 사용자 또는 그룹을 지정하여 웹 애플리케이션이 이 데이터베이스의 데이터 및 보고서에 액세스할 수 있도록 합니다. 값이 도메인 사용자인 경우 Enable-MbamWebApplication cmdlet을 실행할 때 사용되는 WebServiceApplicationPoolCredential 매개 변수는 동일한 사용자 계정을 사용해야 합니다. 값이 도메인 사용자 그룹인 경우 WebServiceApplicationPoolCredential 매개 변수에서 사용되는 도메인 계정은 이 그룹의 구성원이어야 합니다.
ReportAccount
사용자 또는 그룹
이 데이터베이스에 대한 읽기 전용 권한이 있는 도메인 사용자 또는 사용자 그룹을 지정하여 규정 준수 및 감사 데이터에 대한 MBAM 보고서 액세스를 제공합니다. 값이 도메인 사용자인 경우 Enable-MbamReport cmdlet의 ComplianceAndAuditDBCredential 매개 변수는 동일한 사용자 계정을 사용해야 합니다. 값이 도메인 사용자 그룹인 경우 ComplianceAndAuditDBCredential 매개 변수에서 사용되는 도메인 계정은 이 그룹의 구성원이어야 합니다.
Enable-MbamReport
ComplianceAndAuditDBCredential
사용자
로컬 SSRS 인스턴스가 MBAM 준수 및 감사 데이터베이스에 연결하는 데 사용하는 관리 자격 증명을 지정합니다. 관리 자격 증명의 도메인 사용자는 Enable-MbamDatabase cmdlet을 실행하는 동안 사용되는 ReportAccount 매개 변수에 사용되는 사용자 계정과 동일해야 합니다. 도메인 사용자 그룹이 ReportAccount 매개 변수와 함께 사용된 경우 이 계정은 해당 그룹의 구성원이어야 합니다.
중요 관리 자격 증명에 지정된 계정에는 보안 향상을 위한 제한된 사용자 권한이 있어야 합니다. 또한 계정의 암호가 만료되지 않도록 설정해야 합니다.
ReportsReadOnlyAccessGroup
그룹
보고서에 대한 읽기 권한이 있는 도메인 사용자 그룹을 지정합니다. 지정한 그룹은 Enable-MbamWebApplication cmdlet의 ReportsReadOnlyAccessGroup 매개 변수에 사용되는 그룹과 동일해야 합니다.
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
그룹
보고서 영역을 제외한 관리 및 모니터링 웹 사이트의 모든 영역에 액세스할 수 있는 도메인 사용자 그룹을 지정합니다.
HelpdeskAccessGroup
그룹
관리 및 모니터링 웹 사이트의 TPM 관리 및 드라이브 복구 영역에 액세스할 수 있는 도메인 사용자 그룹을 지정합니다.
ReportsReadOnlyAccessGroup
그룹
관리 및 모니터링 웹 사이트의 보고서 영역에 대한 읽기 권한이 있는 도메인 사용자 그룹을 지정합니다. 지정한 그룹은 Enable-MbamReport cmdlet의 ReportsReadOnlyAccessGroup 매개 변수에 사용되는 그룹과 동일해야 합니다.
WebServiceApplicationPoolCredential
사용자
MBAM 웹 애플리케이션에 대한 애플리케이션 풀에서 사용할 도메인 사용자를 지정합니다. Enable-MbamDatabase cmdlet의 AccessAccount 매개 변수에 지정된 것과 동일한 도메인 사용자 계정이어야 합니다. Enable-MbamDatabase cmdlet을 실행할 때 AccessAccount 매개 변수에서 도메인 사용자 그룹을 사용한 경우 여기에 지정된 도메인 사용자는 해당 그룹의 구성원이어야 합니다. 관리 자격 증명을 지정하지 않으면 이전에 사용하도록 설정된 웹 애플리케이션에서 지정한 관리 자격 증명이 사용됩니다. 모든 웹 애플리케이션은 동일한 애플리케이션 풀 ID를 사용합니다. 이 값을 여러 번 지정하면 가장 최근에 지정된 값이 사용됩니다.
중요 보안을 향상하려면 관리 자격 증명에 지정된 계정을 제한된 사용자 권한으로 설정합니다. 또한 계정의 암호가 만료되지 않도록 설정합니다. 기본 제공 IIS_IUSRS 계정 또는 WebServiceApplicationPoolCredential 매개 변수에 사용되는 계정이 인증 로컬 보안 설정 후 클라이언트 가장 에 추가되었는지 확인합니다.
로컬 보안 설정을 보려면 로컬 보안 정책 편집기를 열고 로컬 정책 노드를 확장하고 사용자 권한 할당 노드를 선택한 다음 인증 후 클라이언트 가장을 두 번 클릭하고 세부 정보 창에서 일괄 작업 그룹 정책 설정으로 로그온합니다.
관련 항목
Windows PowerShell을 사용하여 MBAM 2.5 관리
MBAM에 대한 제안이 있나요?
MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.