Planear grupos e contas do MBAM 2.5
Este artigo lista as funções e contas que tem de criar nos Serviços de Domínio do Active Directory para fornecer direitos de segurança e acesso às bases de dados, relatórios e aplicações Web da Administração e Monitorização do Microsoft BitLocker (MBAM). Para cada função e conta, é fornecido o campo correspondente no assistente de Configuração do Servidor MBAM. Para obter uma lista dos cmdlets e parâmetros do Windows PowerShell que correspondem a estas contas, veja Configurar funcionalidades do servidor MBAM 2.5 com o Windows PowerShell.
Observação
O MBAM não suporta a utilização de contas de serviço geridas.
Contas de base de dados
Crie as seguintes contas para a Base de Dados de Conformidade e Auditoria e a Base de Dados de Recuperação.
Nome e objetivo da conta | Tipo de conta | Campo do assistente de Configuração do Servidor MBAM que corresponde a esta conta | Descrição do campo do assistente de Configuração do Servidor MBAM que corresponde a esta conta |
---|---|---|---|
Base de Dados de Conformidade e Auditoria e Base de Dados de Recuperação ler/escrever utilizador ou grupo para relatórios | Utilizador ou Grupo | Utilizador ou grupo de domínio de acesso de leitura/escrita | Utilizador de domínio ou grupo que tem acesso de leitura/escrita à Base de Dados de Conformidade e Auditoria e à Base de Dados de Recuperação para permitir que as aplicações Web acedam aos dados e relatórios nestas bases de dados. Se introduzir um nome de utilizador neste campo, este tem de ser o mesmo valor que o valor no campo conta de domínio do conjunto aplicacional do serviço Web na página Configurar Aplicações Web . Se introduzir um nome de grupo neste campo, o valor no campo conta de domínio do conjunto aplicacional do serviço Web na página Configurar Aplicações Web tem de ser um membro do grupo que introduzir neste campo. |
Utilizador ou grupo só de leitura da Base de Dados de Conformidade e Auditoria para relatórios | Utilizador ou Grupo | Utilizador ou grupo de domínio de acesso só de leitura | Nome do utilizador ou grupo que tem acesso só de leitura à Base de Dados de Conformidade e Auditoria para permitir que os relatórios acedam aos dados de conformidade e auditoria nesta base de dados. Se introduzir um nome de utilizador neste campo, tem de ser o mesmo utilizador que especificou no campo Conta de domínio da Base de Dados de Conformidade e Auditoria na página Configurar Relatórios . Se introduzir um nome de grupo neste campo, o valor que especificar no campo Conta de domínio da Base de Dados de Conformidade e Auditoria na página Configurar Relatórios tem de ser um membro do grupo que especificar neste campo. |
Contas de relatórios
Crie as seguintes contas para a funcionalidade Relatórios.
Nome/objetivo da conta | Tipo de conta | Campo do assistente de Configuração do Servidor MBAM que corresponde a esta conta | Descrição do campo do assistente de Configuração do Servidor MBAM que corresponde a esta conta |
---|---|---|---|
Relatórios do grupo de acesso a domínios só de leitura | Grupo | Grupo de domínio de função de relatório | Especifica o grupo de utilizadores de domínio que tem acesso só de leitura aos relatórios no Site de Administração e Monitorização. O grupo que especificar tem de ser o mesmo grupo que especificou para o parâmetro Grupo de Acesso Só de Leitura dos Relatórios quando as aplicações Web estão ativadas. |
Conta de utilizador do domínio da Base de Dados de Conformidade e Auditoria | Usuário | Conta de domínio da Base de Dados de Conformidade e Auditoria | Conta de utilizador de domínio e palavra-passe que a instância local do SQL Server Reporting Services utiliza para aceder à Base de Dados de Conformidade e Auditoria. Esta conta requer direitos de Início de Sessão como Batch para o servidor do SQL Server Reporting Services. Se o valor introduzido no campo utilizador ou grupo de domínio de acesso só de leitura na página Configurar Bases de Dados for um nome de utilizador, tem de introduzir esse mesmo valor neste campo. Se o valor introduzido no campo de grupo ou utilizador de domínio de acesso só de leitura na página Configurar Bases de Dados for um nome de grupo, o valor que introduzir neste campo tem de ser um membro desse grupo. Configure a palavra-passe desta conta para nunca expirar. A conta de utilizador deve conseguir aceder a todos os dados que estão disponíveis para o grupo Utilizadores de Relatórios do MBAM. |
Contas de Site de Administração e Monitorização (Suporte Técnico)
Crie as seguintes contas para o Site de Administração e Monitorização.
Nome/objetivo da conta | Tipo de conta | Campo do assistente de Configuração do Servidor MBAM que corresponde a esta conta | Descrição do campo do assistente de Configuração do Servidor MBAM que corresponde a esta conta |
---|---|---|---|
Conta de domínio do conjunto aplicacional do serviço Web | Usuário | Conta de domínio do conjunto aplicacional do serviço Web | Conta de utilizador de domínio a ser utilizada pelo conjunto aplicacional para as aplicações Web. Se introduzir um nome de utilizador no campo de grupo ou utilizador de domínio de acesso de leitura/escrita na página Configurar Bases de Dados , tem de introduzir esse mesmo valor neste campo. Se introduzir um nome de grupo no campo de grupo ou utilizador de domínio de acesso de leitura/escrita na página Configurar Bases de Dados , o valor introduzido neste campo tem de ser um membro desse grupo. Se não especificar credenciais, são utilizadas as credenciais especificadas para qualquer aplicação Web ativada anteriormente. Todas as aplicações Web têm de utilizar as mesmas credenciais do conjunto aplicacional. Se especificar credenciais diferentes para diferentes aplicações Web, é utilizado o valor especificado mais recentemente. Importante: para uma segurança melhorada, defina a conta especificada nas credenciais para ter direitos de utilizador limitados. |
Grupo de acesso de Utilizadores de Suporte Técnico Avançado do MBAM | Grupo | Utilizadores de Suporte Técnico Avançado do MBAM | Grupo de utilizadores de domínio cujos membros têm acesso a todas as áreas de recuperação do Site de Administração e Monitorização. Os utilizadores que têm esta função têm de introduzir apenas a chave de recuperação e não o domínio e o nome de utilizador do utilizador final, ao ajudar os utilizadores finais a recuperar as suas unidades. Se um utilizador for membro do grupo Utilizadores de Suporte Técnico do MBAM e do grupo Utilizadores de Suporte Técnico Avançado do MBAM, as permissões do grupo Utilizadores de Suporte Técnico Avançado do MBAM substituem as permissões do Grupo de Suporte Técnico do MBAM. |
Grupo de acesso de Utilizadores do Suporte Técnico do MBAM | Grupo | Utilizadores de Suporte Técnico do MBAM | Grupo de utilizadores de domínio cujos membros têm acesso às áreas Gerir TPM e Recuperação de Unidades do Site de Administração e Monitorização do MBAM. As pessoas que têm esta função têm de preencher todos os campos, incluindo o domínio do utilizador final e o nome da conta, quando utilizam qualquer uma das opções. Se um utilizador for membro do grupo Utilizadores de Suporte Técnico do MBAM e do grupo Utilizadores de Suporte Técnico Avançado do MBAM, as permissões do grupo Utilizadores de Suporte Técnico Avançado do MBAM substituem as permissões do Grupo de Suporte Técnico do MBAM. |
Grupo de acesso utilizadores do Relatório MBAM | Grupo | Utilizadores de Relatórios do MBAM | Grupo de utilizadores de domínio cujos membros têm acesso só de leitura aos relatórios na área Relatórios do Site de Administração e Monitorização. |
Grupo de Utilizadores da Migração de Dados do MBAM | Grupo | Utilizadores da Migração de Dados do MBAM | Grupo de utilizadores de domínio opcional cujos membros têm permissões para escrever dados no MBAM com o Serviço de Recuperação e Hardware MBAM em execução no servidor MBAM. Esta conta é utilizada com os Write-Mbam* cmdlets para escrever dados de recuperação e TPM do Active Directory na base de dados MBAM.Para obter mais informações, veja Considerações de segurança do MBAM 2.5. |