Поделиться через


Планирование для групп и учетных записей MBAM 2.5

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

В этом разделе перечислены роли и учетные записи, которые необходимо создать в доменных службах Active Directory (AD DS), чтобы обеспечить безопасность и предоставить права доступа для веб-приложений, отчетов и баз данных Администрирование и мониторинг Microsoft BitLocker (MBAM). Для каждой роли и учетной записи в мастере настройки сервера MBAM имеется соответствующее поле. Список командлетов и параметров Windows PowerShell, соответствующих этим учетным записям, см. в разделе Required accounts and corresponding Windows PowerShell cmdlet parameters.

Примечание

MBAM не поддерживает использование управляемых учетных записей службы.

Учетные записи баз данных

Создайте следующие учетные записи для базы данных соответствия и аудита и базы данных восстановления.

Имя и назначение учетной записи Тип учетной записи Поле мастера настройки сервера MBAM, соответствующее данной учетной записи Описание поля мастера настройки сервера MBAM, соответствующего данной учетной записи

Пользователь или группа с доступом на чтение/запись к базе данных соответствия и аудита и базе данных восстановления для отчетов

Пользователь или группа

Пользователь или группа домена с правом доступа на чтение/запись

Пользователь или группа домена, имеющие право доступа на чтение/запись к базе данных соответствия и аудита и базе данных восстановления, чтобы позволить веб-приложениям обращаться к данным и отчетам в этих базах данных.

Если указать в этом поле имя пользователя, его значение должно совпадать со значением в поле Учетная запись домена пула приложений веб-служб на странице Настройка веб-приложений.

Если указать в этом поле имя группы, значение в поле Учетная запись домена пула приложений веб-служб на странице Настройка веб-приложений должно являться членом этой группы.

Пользователь или группа с доступом только на чтение к базе данных соответствия и аудита для отчетов

Пользователь или группа

Пользователь или группа домена с правом доступа только на чтение

Имя пользователя или группы, имеющих доступ только на чтение для базы данных соответствия и аудита, чтобы позволить отчетам обращаться к данным о соответствии и аудите в этой базе данных.

Если указать в этом поле имя пользователя, оно должно совпадать с пользователем в поле Учетная запись домена базы данных соответствия и аудита на странице Настройка отчетов.

Если указать в этом поле имя группы, значение в поле Учетная запись домена базы данных соответствия и аудита на странице Настройка отчетов должно являться членом этой группы.

Учетные записи для ведения отчетов

Создайте следующие учетные записи для компонента отчетов.

Имя и назначение учетной записи Тип учетной записи Поле мастера настройки сервера MBAM, соответствующее данной учетной записи Описание поля мастера настройки сервера MBAM, соответствующего данной учетной записи

Группа домена с правом доступа только на чтение к отчетам

Группа

Группа пользователей домена с ролью оператора отчетов

Имя группы домена, члены которой имеют доступ к отчетам на веб-сайте администрирования и мониторинга.

Учетная запись пользователя домена базы данных соответствия и аудита

User (Пользователь)

Учетная запись домена базы данных соответствия и аудита

Имя и пароль учетной записи пользователя домена, используемые локальным экземпляром SQL Server Reporting Services для доступа к базе данных соответствия и аудита. Для этой учетной записи необходимы права Вход в качестве пакетного задания на сервере SQL Server Reporting Services.

Если указанное значение в поле Доступ к пользователю или группе домена только для чтения на странице Настройка баз данных является именем пользователя, необходимо ввести то же значение в этом поле.

Если указанное значение в поле Доступ к пользователю или группе домена только для чтения на странице Настройка баз данных является именем группы, это значение должно быть участником указанной группы.

Настройте для этой учетной записи бессрочный пароль. Учетная запись пользователя должна иметь доступ ко всем данным, доступным для группы пользователей отчетов MBAM.

Учетные записи веб-сайта администрирования и мониторинга (службы технической поддержки)

Создайте следующие учетные записи для веб-сайта администрирования и мониторинга.

Имя и назначение учетной записи Тип учетной записи Поле мастера настройки сервера MBAM, соответствующее данной учетной записи Описание поля мастера настройки сервера MBAM, соответствующего данной учетной записи

Учетная запись домена пула приложений веб-служб

User (Пользователь)

Учетная запись домена пула приложений веб-служб

Учетная запись пользователя домена, используемая пулом приложений для веб-приложений.

Если в поле Пользователь или группа домена с доступом для чтения и записи на странице Настройка баз данных введено имя пользователя, в этом поле необходимо указать то же значение.

Если в поле Пользователь или группа домена с доступом для чтения и записи на странице Настройка баз данных введено имя группы, в этом поле необходимо указать имя пользователя, входящего в эту группу.

Если не указать учетные данные, будут использоваться учетные данные, которые были заданы для ранее включенного веб-приложения. Все веб-приложения должны использовать одни и те же учетные данные пула приложений. Если для разных веб-приложений указаны разные учетные данные, будет использоваться значение, заданное последним.

Важно!

Чтобы повысить безопасность, ограничьте права пользователя для учетной записи, указанной в учетных данных.

Группа доступа опытных пользователей службы поддержки MBAM

Группа

Опытные пользователи службы поддержки MBAM

Группа пользователей домена, члены которой имеют доступ ко всем областям восстановления веб-сайта администрирования и мониторинга. Пользователи с такой ролью могут вводить ключ восстановления без домена конечного пользователя и имени пользователя, когда помогают конечным пользователям восстановить их диски. Если пользователь является членом как группы пользователей службы поддержки MBAM, так и группы опытных пользователей службы поддержки MBAM, разрешения группы опытных пользователей службы поддержки MBAM переопределяют разрешения группы пользователей службы поддержки MBAM.

Группа доступа пользователей службы поддержки MBAM

Группа

Пользователи службы поддержки MBAM

Группа пользователей домена, члены которой имеют доступ к областям "Восстановление диска" и "Управление TPM" веб-сайта администрирования и мониторинга MBAM. Люди с такой ролью должны заполнить все поля, включая домен конечного пользователя и имя учетной записи, при использовании любого из параметров.

Если пользователь является членом как группы пользователей службы поддержки MBAM, так и группы опытных пользователей службы поддержки MBAM, разрешения группы опытных пользователей службы поддержки MBAM переопределяют разрешения группы пользователей службы поддержки MBAM.

Группа доступа пользователей отчетов MBAM

Группа

Пользователи отчетов MBAM

Группа пользователей домена, члены которой имеют доступ только для чтения к отчетам в области "Отчеты" веб-сайта администрирования и мониторинга.

MBAM Группа пользователей переноса данных

Группа

MBAM Пользователи переноса данных

Необязательная группа пользователей домена, члены которой имеют разрешения на запись данных в MBAM с помощью службы восстановления и оборудования MBAM на сервере MBAM. Эта учетная запись обычно используется командлетами Write-Mbam* для записи данных восстановления и данных доверенного платформенного модуля из Active Directory в базу данных MBAM.

Более подробные сведения см. в разделе Процедуры безопасности MBAM 2.5.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

Другие ресурсы

Подготовка среды для развертывания MBAM 2.5
Необходимые компоненты развертывания MBAM 2.5