Планирование групп и учетных записей MBAM 2.5
В этом разделе перечислены роли и учетные записи, которые необходимо создать в доменные службы Active Directory (AD DS), чтобы предоставить права на безопасность и доступ для баз данных, отчетов и веб-приложений Microsoft BitLocker Administration and Monitoring (MBAM). Для каждой роли и учетной записи предоставляется соответствующее поле в мастере настройки сервера MBAM. Список командлетов Windows PowerShell и параметров, соответствующих этим учетным записям, см. в статье "Настройка компонентов сервера MBAM 2.5 с помощью Windows PowerShell".
Примечание.
MBAM не поддерживает использование управляемых учетных записей служб.
Учетные записи базы данных
Создайте следующие учетные записи для базы данных соответствия и аудита и базы данных восстановления.
| Имя и назначение учетной записи | Тип учетной записи | Поле мастера настройки сервера MBAM, соответствующее этой учетной записи | Описание поля мастера настройки сервера MBAM, соответствующего этой учетной записи |
|---|---|---|---|
Соответствие и аудит базы данных и базы данных восстановления для чтения и записи пользователя или группы для отчетов |
Пользователь или группа |
Пользователь или группа домена доступа для чтения и записи |
Пользователь домена или группа с доступом на чтение и запись к базе данных соответствия и аудита и базе данных восстановления, чтобы разрешить веб-приложениям доступ к данным и отчетам в этих базах данных. Если ввести имя пользователя в этом поле, оно должно совпадать со значением в поле учетной записи домена пула приложений веб-службы на странице "Настройка веб-приложений". Если ввести имя группы в этом поле, значение в поле учетной записи домена пула приложений веб-службы на странице "Настройка веб-приложений" должно быть членом группы, в которую вы введете это поле. |
Пользователь или группа для отчетов, доступных только для чтения, и аудит базы данных |
Пользователь или группа |
Пользователь или группа домена с доступом только для чтения |
Имя пользователя или группы, которые будут иметь доступ только для чтения к базе данных соответствия и аудита, чтобы позволить отчетам получать доступ к данным соответствия и аудита в этой базе данных. Если ввести имя пользователя в этом поле, это должен быть тот же пользователь, что и в поле учетной записи домена базы данных соответствия и аудита на странице "Настройка отчетов". Если ввести имя группы в этом поле, значение, указанное в поле учетной записи домена базы данных соответствия и аудита на странице "Настройка отчетов", должно быть членом группы, указанной в этом поле. |
Учетные записи отчетов
Создайте следующие учетные записи для функции "Отчеты".
| Имя или назначение учетной записи | Тип учетной записи | Поле мастера настройки сервера MBAM, соответствующее этой учетной записи | Описание поля мастера настройки сервера MBAM, соответствующего этой учетной записи |
|---|---|---|---|
Отчеты о группе доступа к домену только для чтения |
Группа |
Группа доменов роли отчетов |
Указывает группу пользователей домена, которая имеет доступ только для чтения к отчетам на веб-сайте администрирования и мониторинга. Указанная группа должна быть той же группой, которая указана для параметра группы доступа только для чтения отчетов при включении веб-приложений. |
Учетная запись пользователя домена базы данных соответствия и аудита |
Пользователь |
Учетная запись домена базы данных соответствия и аудита |
Учетная запись пользователя домена и пароль, которые локальный SQL Server Reporting Services использует для доступа к базе данных соответствия и аудита. Для этой учетной записи требуются права на вход в качестве пакетной службы для SQL Server Reporting Services сервера. Если в поле "Пользователь или группа доступа только для чтения" на странице "Настройка баз данных" введите имя пользователя, необходимо ввести то же значение в этом поле. Если значение, которое вы введете в поле домена или группы доступа только для чтения на странице "Настройка баз данных", является именем группы, значение, которое вы вводите в этом поле, должно быть членом этой группы. Настройте срок действия пароля для этой учетной записи. Учетная запись пользователя должна иметь доступ ко всем данным, доступным для группы пользователей отчетов MBAM. |
Учетные записи веб-сайта администрирования и мониторинга (служба технической поддержки)
Создайте следующие учетные записи для веб-сайта администрирования и мониторинга.
| Имя или назначение учетной записи | Тип учетной записи | Поле мастера настройки сервера MBAM, соответствующее этой учетной записи | Описание поля мастера настройки сервера MBAM, соответствующего этой учетной записи |
|---|---|---|---|
Учетная запись домена пула приложений веб-службы |
Пользователь |
Учетная запись домена пула приложений веб-службы |
Учетная запись пользователя домена, используемая пулом приложений для веб-приложений. При вводе имени пользователя в поле "Пользователь или группа доступа для чтения и записи" на странице "Настройка баз данных" необходимо ввести то же значение в этом поле. При вводе имени группы в поле "Пользователь или группа доступа для чтения и записи" на странице "Настройка баз данных" значение, указанное в этом поле, должно быть членом этой группы. Если учетные данные не указаны, будут использоваться учетные данные, указанные для любого ранее включенного веб-приложения. Все веб-приложения должны использовать одинаковые учетные данные пула приложений. Если указать разные учетные данные для разных веб-приложений, будет использоваться самое последнее указанное значение.
Важно.
Для повышения безопасности задайте для учетной записи, указанной в учетных данных, ограниченные права пользователя. |
Группа доступа пользователей расширенной службы технической поддержки MBAM |
Группа |
Расширенные пользователи службы технической поддержки MBAM |
Группа пользователей домена, члены которой имеют доступ ко всем областям восстановления веб-сайта администрирования и мониторинга. Пользователи с этой ролью должны вводить только ключ восстановления, а не домен и имя пользователя конечного пользователя при помощи конечных пользователей при восстановлении дисков. Если пользователь является членом как группы пользователей службы технической поддержки MBAM, так и группы расширенных пользователей службы технической поддержки MBAM, разрешения группы пользователей расширенной службы технической поддержки MBAM переопределяют разрешения группы поддержки MBAM. |
Группа доступа пользователей службы технической поддержки MBAM |
Группа |
Пользователи службы технической поддержки MBAM |
Группа пользователей домена, члены которой имеют доступ к областям "Управление TPM" и "Восстановление диска" на веб-сайте администрирования и мониторинга MBAM. Пользователи с этой ролью должны заполнить все поля, включая домен и имя учетной записи конечного пользователя, при использовании любого из вариантов. Если пользователь является членом как группы пользователей службы технической поддержки MBAM, так и группы расширенных пользователей службы технической поддержки MBAM, разрешения группы пользователей расширенной службы технической поддержки MBAM переопределяют разрешения группы поддержки MBAM. |
Группа доступа пользователей отчетов MBAM |
Группа |
Пользователи отчетов MBAM |
Группа пользователей домена, члены которой имеют доступ только для чтения к отчетам в области отчетов веб-сайта администрирования и мониторинга. |
Группа пользователей миграции данных MBAM |
Группа |
Пользователи миграции данных MBAM |
Необязательная группа пользователей домена, члены которой имеют разрешения на запись данных в MBAM с помощью службы восстановления и оборудования MBAM, работающей на сервере MBAM. Эта учетная запись обычно используется с командлетами Write-Mbam* для записи данных восстановления и TPM из Active Directory в базу данных MBAM. Дополнительные сведения см. в разделе "Вопросы безопасности MBAM 2.5". |
Связанные статьи
Подготовка среды для развертывания MBAM 2.5
Необходимые условия для развертывания MBAM 2.5
Есть предложение по MBAM?
Для решения проблем MBAM используйте форум TechNet MBAM.