Compartilhar via

Configurando recursos de servidor do MBAM 2.5 usando o Windows PowerShell

  • Artigo

Depois de instalar o software do MBAM 2.5 Server, você pode usar a configuração de recursos do Servidor MBAM 2.5 usando cmdlets do Windows PowerShell ou o assistente de Configuração de Servidor do MBAM. Este tópico descreve como configurar o MBAM 2.5 usando Windows PowerShell cmdlets. Para usar o assistente, consulte Configurando os recursos do servidor MBAM 2.5.

Neste tópico

Este tópico inclui as seguintes informações sobre como usar o Windows PowerShell para configurar o MBAM:

Para obter informações sobre os cmdlets Get-MbamBitLockerRecoveryKey e Get-MbamTPMOwnerPassword Windows PowerShell, que são usados para administrar o MBAM, consulte Usando o Windows PowerShell para administrar o MBAM 2.5.

Como carregar a Windows PowerShell para o MBAM 2.5

Para obter uma lista dos cmdlets Windows PowerShell no TechNet, consulte Microsoft Desktop Optimization Pack Automation com Windows PowerShell.

Para carregar a Ajuda do MBAM 2.5 para Windows PowerShell cmdlets após a instalação do software do Servidor MBAM

  1. Abra Windows PowerShell ou Windows PowerShell ISE (Ambiente de Script Integrado).

  2. Digite Update-Help –Module Microsoft.MBAM.

Como obter ajuda sobre um cmdlet de Windows PowerShell MBAM

Windows PowerShell Ajuda do MBAM está disponível nos seguintes formatos:

Windows PowerShell da Ajuda Mais informações

Em um prompt Windows PowerShell comando, digite ocmdletGet-Help<>

Para carregar os cmdlets Windows PowerShell mais recentes, siga as instruções na seção anterior sobre como carregar Windows PowerShell Ajuda para MBAM.

No TechNet como páginas da Web

https://go.microsoft.com/fwlink/?LinkId=393498

No Centro de Download como um arquivo .docx Word

https://go.microsoft.com/fwlink/?LinkId=393497

No Centro de Download como um .pdf arquivo

https://go.microsoft.com/fwlink/?LinkId=393499

Configurações que você só pode fazer com o Windows PowerShell, mas não com o assistente de Configuração de Servidor do MBAM

Configurações que você só pode fazer usando o Windows PowerShell Detalhes

Instale os serviços Web em um computador separado dos aplicativos Web.

Usando o assistente, você deve instalar os serviços Web e aplicativos Web no mesmo computador.

Habilite relatórios em um ponto separado do Reporting Services sem instalar todos os Configuration Manager objetos.

Exclua todos os objetos Configuration Manager.

A exclusão dos objetos, por sua vez, exclui todos os dados de conformidade Configuration Manager.

Insira uma cadeia de conexão personalizada para os bancos de dados.

Exemplo: para configurar os aplicativos Web para trabalhar com espelhamento, você deve usar o cmdlet Enable-MbamWebApplication para especificar a sintaxe de parceiro de failover apropriada na cadeia de conexão.

Ignore a validação e configure um recurso, mesmo que a verificação de pré-requisitos tenha falhado.

Nota Não é possível desabilitar os bancos de dados do MBAM com um cmdlet Windows PowerShell ou o assistente de Configuração de Servidor do MBAM. Para evitar a remoção acidental de seus dados de conformidade e auditoria, os administradores de banco de dados devem remover bancos de dados manualmente.

Pré-requisitos e requisitos para usar o Windows PowerShell para configurar recursos do Servidor mbam

Antes de iniciar a configuração, conclua os seguintes pré-requisitos.

Pré-requisitos relacionados à conta

Pré-requisito Detalhes ou informações adicionais

Crie as contas necessárias.

Consulte a seção Contas necessárias e parâmetros Windows PowerShell cmdlet correspondentes mais adiante neste tópico.

Contas de usuário e grupos que você passa como parâmetros para Windows PowerShell cmdlets devem ser contas válidas no domínio.

Não é possível usar contas locais.

Especifique contas no formato de nível inferior.

Exemplos:

domainNetBiosName\userdomainNetBiosName\group

Pré-requisitos relacionados à permissão

Pré-requisito Detalhes ou informações adicionais

Você deve ser um administrador no computador local em que está configurando o recurso do MBAM.

Use um prompt de Windows PowerShell com privilégios elevados para executar todos Windows PowerShell cmdlets.

Somente para o cmdlet Enable-MbamDatabase :

Você deve ter permissões de "criar qualquer banco de dados" na instância do banco de dados microsoft SQL Server destino.

Essa conta de usuário deve fazer parte do grupo de administradores locais ou do grupo operadores de backup para registrar o gravador VSS (Serviço de Cópias de Sombra de Volume) do MBAM.

Por padrão, o administrador do banco de dados ou o administrador do sistema tem as permissões necessárias para "criar qualquer banco de dados".

Para obter mais informações sobre o VsS Writer, consulte Serviço de Cópias de Sombra de Volume.

Somente para o System Center Configuration Manager integração:

O usuário que habilita esse recurso deve ter esses direitos Configuration Manager:
Tipo de direitos no Configuration Manager Direitos necessários

Configuration Manager direitos do site:

-Ler

Configuration Manager direitos de coleção:

- Criar- Excluir - Ler - Modificar - Implantar Itens de Configuração

Configuration Manager de item de configuração:

– Criar – Excluir – Ler

 

Usando Windows PowerShell para configurar o MBAM em um computador remoto

Quando usar essa funcionalidade

Quando você quiser configurar os recursos do Servidor MBAM 2.5 em um computador remoto. Os Windows PowerShell cmdlets estão em execução em um computador e você está configurando os recursos em um computador remoto diferente.

O que você tem que fazer

Para usar Windows PowerShell configurar recursos do Servidor MBAM 2.5 em um computador remoto, você deve:

  • Verifique se o software do MBAM 2.5 Server foi instalado no computador remoto.

  • Use o protocolo CredSSP (Credential Security Support Provider) para abrir a sessão Windows PowerShell segurança.

  • Habilitar o WinRM (Gerenciamento Remoto do Windows). Se você não habilitar o WinRM e configurá-lo corretamente, o cmdlet New-PSSession descrito nesta tabela exibirá um erro e descreverá como corrigir o problema. Para obter mais informações sobre o WinRM, consulte Usando o Gerenciamento Remoto do Windows.

Por que você tem que fazer isso

Esse protocolo permite que os Windows PowerShell cmdlets se conectem ao Active Directory Domain Services usando as credenciais administrativas do usuário. Você poderá receber um erro de validação se iniciar a sessão Windows PowerShell sem esse protocolo.

Como iniciar uma sessão Windows PowerShell com o protocolo CredSSP

Digite o código a seguir Windows PowerShell prompt:

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

O código a seguir mostra um exemplo.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Contas necessárias e parâmetros Windows PowerShell cmdlet correspondentes

A tabela a seguir descreve as contas necessárias para configurar os recursos do Servidor do MBAM 2.5. Ele também lista o cmdlet Windows PowerShell e o parâmetro correspondentes para os quais você precisa especificar a conta durante a configuração.

Descrição do tipo de parâmetro cmdlet (usuário ou grupo) Enable-MBAMDatabase

AccessAccount

Usuário ou Grupo

Especifique um usuário ou grupo de domínio que tenha permissão de leitura/gravação para esse banco de dados para conceder aos aplicativos Web acesso a dados e relatórios neste banco de dados. Se o valor for um usuário de domínio, o parâmetro WebServiceApplicationPoolCredential usado ao executar o cmdlet Enable-MbamWebApplication deverá usar a mesma conta de usuário. Se o valor for um grupo usuários de domínio, a conta de domínio usada pelo parâmetro WebServiceApplicationPoolCredential deverá ser membro desse grupo.

ReportAccount

Usuário ou Grupo

Especifique um usuário de domínio ou grupo usuários que tenha permissão somente leitura para esse banco de dados para fornecer ao MBAM relatórios acesso aos dados de conformidade e auditoria. Se o valor for um usuário de domínio, o parâmetro ComplianceAndAuditDBCredential do cmdlet Enable-MbamReport deverá usar a mesma conta de usuário. Se o valor for um grupo usuários de domínio, a conta de domínio usada pelo parâmetro ComplianceAndAuditDBCredential deverá ser membro desse grupo.

Enable-MbamReport

ComplianceAndAuditDBCredential

Usuário

Especifica a credencial administrativa que a instância local do SSRS usa para se conectar ao Banco de Dados de Conformidade e Auditoria do MBAM. O usuário de domínio na credencial administrativa deve ser o mesmo que a conta de usuário usada para o parâmetro ReportAccount , que é usado durante a execução do cmdlet Enable-MbamDatabase . Se um grupo usuários de domínio foi usado com o parâmetro ReportAccount , essa conta deve ser um membro desse grupo.

Importante A conta especificada nas credenciais administrativas deve ter direitos de usuário limitados para melhorar a segurança. Além disso, a senha da conta deve ser definida para não expirar.

ReportsReadOnlyAccessGroup

Grupo

Especifica o grupo de usuários de domínio que tem permissões de leitura para os relatórios. O grupo especificado deve ser o mesmo grupo usado para o parâmetro ReportsReadOnlyAccessGroup no cmdlet Enable-MbamWebApplication .

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Grupo

Especifica o grupo usuários do domínio que tem acesso a todas as áreas do Site de Administração e Monitoramento, exceto a área Relatórios.

HelpdeskAccessGroup

Grupo

Especifica o grupo usuários do domínio que tem acesso às áreas Gerenciar TPM e Recuperação de Unidade do Site de Administração e Monitoramento.

ReportsReadOnlyAccessGroup

Grupo

Especifica o grupo usuários do domínio que tem permissão de leitura para a área Relatórios do Site de Administração e Monitoramento. O grupo especificado deve ser o mesmo grupo usado para o parâmetro ReportsReadOnlyAccessGroup no cmdlet Enable-MbamReport .

WebServiceApplicationPoolCredential

Usuário

Especifica o usuário de domínio a ser usado pelo pool de aplicativos para os aplicativos Web do MBAM. Ele deve ser a mesma conta de usuário de domínio especificada no parâmetro AccessAccount do cmdlet Enable-MbamDatabase . Se um grupo usuários de domínio foi usado pelo parâmetro AccessAccount ao executar o cmdlet Enable-MbamDatabase , o usuário de domínio especificado aqui deverá ser um membro desse grupo. Se você não especificar as credenciais administrativas, as credenciais administrativas especificadas por qualquer aplicativo Web habilitado anteriormente serão usadas. Todos os aplicativos Web usam a mesma identidade do pool de aplicativos. Se for especificado várias vezes, o valor especificado mais recentemente será usado.

Importante Para maior segurança, defina a conta especificada nas credenciais administrativas como direitos de usuário limitados. Além disso, defina a senha da conta para nunca expirar. Verifique se a conta IIS_IUSRS interna ou a conta usada para o parâmetro WebServiceApplicationPoolCredential foi adicionada à representação de um cliente após a configuração de segurança local de autenticação.

Para exibir a configuração de segurança local, abra o editor de Política de Segurança Local, expanda o nó Políticas Locais, selecione o nó Atribuição de Direitos de Usuário e clique duas vezes em Representar um cliente após a autenticação e faça logon como um trabalho em lotes Política de Grupo configurações no painel de detalhes.

Configurando os recursos de servidor do MBAM 2.5

Validando a configuração de recursos de servidor do MBAM 2.5

Usando o Windows PowerShell para administrar o MBAM 2.5

Tem uma sugestão para o MBAM?

Para problemas do MBAM, use o Fórum do TechNet do MBAM.