Configurar as funcionalidades do servidor MBAM 2.5 com o Windows PowerShell

Depois de instalar o software de servidor Microsoft BitLocker Administration and Monitoring (MBAM) 2.5, pode configurar as funcionalidades do servidor MBAM 2.5 através dos cmdlets do Windows PowerShell ou do assistente de Configuração do Servidor MBAM. Este artigo descreve como configurar o MBAM 2.5 com os cmdlets do Windows PowerShell. Para utilizar o assistente, consulte Configurar as Funcionalidades do Servidor MBAM 2.5.

Para obter informações sobre os cmdlets Get-MbamBitLockerRecoveryKey e Get-MbamTPMOwnerPassword do Windows PowerShell, que são utilizados para administrar o MBAM, consulte Utilizar o Windows PowerShell para Administrar o MBAM 2.5.

Como carregar a ajuda do Windows PowerShell para o MBAM 2.5

Para obter uma lista dos cmdlets do Windows PowerShell, veja Automatização do Microsoft Desktop Optimization Pack com o Windows PowerShell.

Para carregar a ajuda do MBAM 2.5 para cmdlets do Windows PowerShell após a instalação do software de servidor MBAM

1. Abra o Windows PowerShell ou o Ambiente de Scripting Integrado do Windows PowerShell (ISE).

2. Tipo Update-Help -Module Microsoft.MBAM

Como obter ajuda sobre um cmdlet MBAM do Windows PowerShell

A ajuda do Windows PowerShell para MBAM está disponível nos seguintes formatos:

• Numa linha de comandos do Windows PowerShell, escreva Get-Help <cmdlet>
  • Para carregar os cmdlets mais recentes do Windows PowerShell, siga as instruções na secção anterior sobre como carregar a ajuda do Windows PowerShell para MBAM.
• Introdução à automatização MDOP
• Transferir a documentação de referência do cmdlet MDOP

Configurações que só pode fazer com o Windows PowerShell, mas não com o assistente de Configuração do Servidor MBAM

Configurações que só pode fazer com o Windows PowerShell	Detalhes
Instale os serviços Web num computador separado das aplicações Web.	Com o assistente, tem de instalar os serviços Web e as aplicações Web no mesmo computador.
Ative relatórios num ponto separado do Reporting Services sem instalar todos os objetos do Configuration Manager.
Elimine todos os objetos do Configuration Manager.	Eliminar os objetos por sua vez elimina todos os dados de compatibilidade do Configuration Manager.
Introduza uma cadeia de ligação personalizada para as bases de dados.	Exemplo: para configurar as aplicações Web para funcionarem com espelhamento, tem de utilizar o cmdlet Enable-MbamWebApplication para especificar a sintaxe do parceiro de ativação pós-falha adequada na cadeia de ligação.
Ignore a validação e configure uma funcionalidade, mesmo que a verificação de pré-requisitos tenha falhado.

Observação

Não pode desativar as bases de dados MBAM com um cmdlet do Windows PowerShell ou o assistente de Configuração do Servidor MBAM. Para impedir a remoção acidental dos dados de conformidade e auditoria, os administradores da base de dados têm de remover as bases de dados manualmente.

Pré-requisitos e requisitos para utilizar o Windows PowerShell para configurar funcionalidades do servidor MBAM

Antes de iniciar a configuração, conclua os seguintes pré-requisitos.

Pré-requisitos relacionados com contas

Pré-requisito	Detalhes ou informações adicionais
Crie as contas necessárias.	Veja a secção Contas necessárias e parâmetros de cmdlet do Windows PowerShell correspondentes mais à frente neste artigo.
As contas de utilizador e os grupos que transmite como parâmetros para os cmdlets do Windows PowerShell têm de ser contas válidas no domínio.	Não pode utilizar contas locais.
Especifique as contas no formato de nível inferior.	Exemplos: domainNetBiosName\user domainNetBiosName\group

Pré-requisitos relacionados com permissões

• Tem de ser um administrador no computador local onde está a configurar a funcionalidade MBAM.
• Utilize uma linha de comandos elevada do Windows PowerShell para executar todos os cmdlets do Windows PowerShell.

Apenas para o cmdlet Enable-MbamDatabase :

• Tem de ter permissões de "criar qualquer base de dados" na instância da base de dados do Microsoft SQL Server de destino.
• Por predefinição, o administrador da base de dados ou o administrador de sistema tem as permissões necessárias para "criar qualquer base de dados".
• Esta conta de utilizador tem de fazer parte do grupo de administradores locais ou do grupo Operadores de Cópia de Segurança para registar o Escritor do Serviço de Cópia Sombra de Volumes (VSS) do MBAM.
• Para obter mais informações sobre o Escritor VSS, veja Serviço de Cópia Sombra de Volumes.

Apenas para a funcionalidade Integração do System Center Configuration Manager , o utilizador que ativa esta funcionalidade tem de ter estes direitos no Configuration Manager:

Tipo de direitos no Configuration Manager	Direitos necessários
Direitos do Site do Configuration Manager:	- Ler
Direitos de Recolha do Configuration Manager:	- Criar - Eliminar - Ler - Modificar - Implementar Itens de Configuração
Direitos de item de Configuração do Configuration Manager:	- Criar - Eliminar - Ler

Utilizar o Windows PowerShell para configurar o MBAM num computador remoto

Funcionalidade	Detalhes
Quando utilizar esta capacidade	Quando quiser configurar as funcionalidades do Servidor MBAM 2.5 num computador remoto. Os cmdlets do Windows PowerShell estão em execução num computador e está a configurar as funcionalidades num computador remoto diferente.
O que tem de fazer	Para utilizar o Windows PowerShell para configurar as funcionalidades do Servidor MBAM 2.5 num computador remoto, tem de: Certifique-se de que o software do Servidor MBAM 2.5 foi instalado no computador remoto. Utilize o Protocolo do Fornecedor de Suporte de Segurança de Credenciais (CredSSP) para abrir a sessão do Windows PowerShell. Ativar a Gestão Remota do Windows (WinRM). Se não conseguir ativar o WinRM e configurá-lo corretamente, o cmdlet New-PSSession descrito nesta tabela apresenta um erro e descreve como corrigir o problema. Para obter mais informações sobre o WinRM, consulte Utilizar a Gestão Remota do Windows.
Por que tem que fazê-lo?	Este protocolo permite que os cmdlets do Windows PowerShell se liguem aos Serviços de Domínio do Active Directory através das credenciais administrativas do utilizador. Poderá obter um erro de validação se iniciar a sessão do Windows PowerShell sem este protocolo.
Como iniciar uma sessão do Windows PowerShell com o protocolo CredSSP	Escreva o seguinte código na linha de comandos do Windows PowerShell: $s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx O código seguinte mostra um exemplo: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential) Enter-PSSession $session

Contas necessárias e parâmetros de cmdlet do Windows PowerShell correspondentes

As secções seguintes descrevem as contas necessárias para configurar as funcionalidades do servidor MBAM 2.5. Também lista o cmdlet e o parâmetro do Windows PowerShell correspondentes para os quais tem de especificar a conta durante a configuração.

Descrição do Tipo de Parâmetro do Cmdlet (Utilizador ou Grupo)

Enable-MBAMDatabase

AccessAccount

Tipo: Utilizador ou Grupo

Especifique um utilizador ou grupo de domínio que tenha permissão de leitura/escrita para esta base de dados para conceder às aplicações Web acesso a dados e relatórios nesta base de dados. Se o valor for um utilizador de domínio, o parâmetro WebServiceApplicationPoolCredential utilizado ao executar o cmdlet Enable-MbamWebApplication tem de utilizar a mesma conta de utilizador. Se o valor for um domínio Grupo de utilizadores, a conta de domínio utilizada pelo parâmetro WebServiceApplicationPoolCredential tem de ser membro deste grupo.

ReportAccount

Tipo: Utilizador ou Grupo

Especifique um utilizador de domínio ou grupo Utilizadores que tenha permissão só de leitura para esta base de dados para fornecer aos relatórios MBAM acesso aos dados de conformidade e auditoria. Se o valor for um utilizador de domínio, o parâmetro ComplianceAndAuditDBCredential do cmdlet Enable-MbamReport tem de utilizar a mesma conta de utilizador. Se o valor for um domínio Grupo de utilizadores, a conta de domínio utilizada pelo parâmetro ComplianceAndAuditDBCredential tem de ser membro deste grupo.

Enable-MbamReport

ComplianceAndAuditDBCredential

Tipo: Utilizador

Especifica a credencial administrativa que a instância SSRS local utiliza para ligar à Base de Dados de Conformidade e Auditoria do MBAM. O utilizador de domínio na credencial administrativa tem de ser o mesmo que a conta de utilizador utilizada para o parâmetro ReportAccount , que é utilizado durante a execução do cmdlet Enable-MbamDatabase . Se um domínio Grupo de utilizadores tiver sido utilizado com o parâmetro ReportAccount , esta conta deverá ser um membro desse grupo.

Importante

A conta especificada nas credenciais administrativas deve ter direitos de utilizador limitados para uma segurança melhorada. Além disso, a palavra-passe da conta deve estar definida para não expirar.

ReportsReadOnlyAccessGroup

Tipo: Grupo

Especifica o grupo de utilizadores de domínio que tem permissões de leitura para os relatórios. O grupo especificado tem de ser o mesmo grupo utilizado para o parâmetro ReportsReadOnlyAccessGroup no cmdlet Enable-MbamWebApplication .

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Tipo: Grupo

Especifica o domínio Grupo de utilizadores que tem acesso a todas as áreas do Site de Administração e Monitorização, exceto na área Relatórios.

HelpdeskAccessGroup

Tipo: Grupo

Especifica o domínio Grupo de utilizadores que tem acesso às áreas Gerir TPM e Recuperação de Unidades do Site de Administração e Monitorização.

ReportsReadOnlyAccessGroup

Tipo: Grupo

Especifica o domínio Grupo de utilizadores que tem permissão de leitura para a área Relatórios do Site de Administração e Monitorização. O grupo especificado tem de ser o mesmo grupo utilizado para o parâmetro ReportsReadOnlyAccessGroup no cmdlet Enable-MbamReport .

WebServiceApplicationPoolCredential

Tipo: Utilizador

Especifica o utilizador de domínio a ser utilizado pelo conjunto aplicacional para as aplicações Web MBAM. Tem de ser a mesma conta de utilizador de domínio especificada no parâmetro AccessAccount do cmdlet Enable-MbamDatabase . Se um domínio Grupo de utilizadores tiver sido utilizado pelo parâmetro AccessAccount ao executar o cmdlet Enable-MbamDatabase , o utilizador de domínio especificado aqui tem de ser um membro desse grupo. Se não especificar as credenciais administrativas, são utilizadas as credenciais administrativas especificadas por qualquer aplicação Web ativada anteriormente. Todas as aplicações Web utilizam a mesma identidade do conjunto aplicacional. Se for especificado várias vezes, é utilizado o valor especificado mais recentemente.

Importante

Para maior segurança, defina a conta especificada nas credenciais administrativas para direitos de utilizador limitados. Além disso, defina a palavra-passe da conta para nunca expirar. Certifique-se de que a conta IIS_IUSRS incorporada ou a conta utilizada para o parâmetro WebServiceApplicationPoolCredential foi adicionada à definição Representar um cliente após a autenticação da segurança local.

Para ver a definição de segurança local, abra o editor de Políticas de Segurança Local, expanda o nó Políticas Locais , selecione o nó Atribuição de Direitos de Utilizador e, em seguida, faça duplo clique em Representar um cliente após a autenticação e Inicie sessão como uma política de grupo de tarefas em lote no painel de detalhes.

Artigos relacionados

Configurar as funcionalidades do servidor MBAM 2.5

Validar a configuração da funcionalidade do servidor MBAM 2.5

Utilizar o Windows PowerShell para administrar o MBAM 2.5