Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell
Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
После установки ПО сервера MBAM 2.5 вы можете настроить компоненты сервера MBAM 2.5 с помощью командлетов Windows PowerShell или мастера настройки сервера MBAM. В этом разделе рассказывается о том, как настроить MBAM 2.5 с помощью командлетов Windows PowerShell. Инструкции по использованию мастера см. в разделе Настройка компонентов MBAM 2.5 Server.
В этом разделе
В этом разделе содержатся следующие сведения об использовании Windows PowerShell для настройки MBAM:
Загрузка справки по Windows PowerShell для MBAM 2.5
Получение справки по командлету Windows PowerShell MBAM
Настройки, которые можно произвести только с помощью Windows PowerShell, но не с помощью мастера настройки сервера MBAM
Предварительные требования для использования Windows PowerShell с целью настройки компонентов сервера MBAM
Использование Windows PowerShell для настройки MBAM на удаленном компьютере
Требуемые учетные записи и соответствующие параметры командлета Windows PowerShell
Сведения о командлетах Get-MbamBitLockerRecoveryKey и Get-MbamTPMOwnerPassword Windows PowerShell, используемых для администрирования MBAM, см. в разделе Использование Windows PowerShell для администрирования MBAM 2.5.
Загрузка справки по Windows PowerShell для MBAM 2.5
Список командлетов Windows PowerShell см. в статье TechNet Автоматизация работы с Microsoft Desktop Optimization Pack с помощью Windows PowerShell.
Загрузка справки по MBAM 2.5 для командлетов Windows PowerShell после установки серверного программного обеспечения MBAM
Откройте интегрированную среду сценариев (ISE) Windows PowerShell или Windows PowerShell.
Введите команду Update-Help –Module Microsoft.MBAM.
Получение справки по командлету Windows PowerShell MBAM
Справка по Windows PowerShell для MBAM доступна в следующих форматах:
Формат справки Windows PowerShell | Дополнительные сведения |
---|---|
В командной строке Windows PowerShell введите Get-Help <командлет> |
Чтобы загрузить последние командлеты Windows PowerShell, выполните инструкции в предыдущем разделе, посвященном загрузке справки по Windows PowerShell для MBAM. |
В виде веб-страниц на сайте TechNet |
https://go.microsoft.com/fwlink/?LinkId=393498 |
В виде DOCX-файла Word в Центре загрузки |
https://go.microsoft.com/fwlink/?LinkId=393497 |
В виде PDF-файла в Центре загрузки |
https://go.microsoft.com/fwlink/?LinkId=393499 |
Настройки, которые можно произвести только с помощью Windows PowerShell, но не с помощью мастера настройки сервера MBAM
Настройки, которые можно произвести только с помощью Windows PowerShell | Сведения |
---|---|
Установите веб-службы и веб-приложения на разных компьютерах. |
При использовании мастера веб-службы и веб-приложения необходимо устанавливать на одном и том же компьютере. |
Включите отчеты в отдельной точке служб отчетов, не устанавливая все объекты Configuration Manager. |
|
Удалите все объекты из Configuration Manager. |
При удалении объектов также удаляются все данные о соответствии из Configuration Manager. |
Введите настраиваемую строку подключения для баз данных. |
Пример. Для настройки работы веб-приложений с зеркальным отображением необходимо воспользоваться командлетом Enable-MbamWebApplication, чтобы указать в строке подключения соответствующий синтаксис для партнера по обеспечению отработки отказа. |
Пропустите проверку и настройте компонент, даже если проверка предварительных требований не была пройдена. |
Примечание
Отключить базы данных MBAM с помощью командлета Windows PowerShell или мастера настройки сервера MBAM нельзя. Во избежание непреднамеренного удаления данных о соответствии и аудите администраторы баз данных должны удалять базы данных вручную.
Предварительные требования для использования Windows PowerShell с целью настройки компонентов сервера MBAM
Перед тем как приступать к настройке, выполните указанные ниже предварительные требования.
Предварительные требования, связанные с учетными записями
Предварительное условие | Подробные или дополнительные сведения |
---|---|
Создайте необходимые учетные записи. |
См. подраздел Требуемые учетные записи и соответствующие параметры командлета Windows PowerShell далее в этом разделе. |
Учетные записи и группы пользователей, передаваемые в качестве параметров в командлеты Windows PowerShell, должны представлять собой действительные учетные записи в домене. |
Использовать локальные учетные записи нельзя. |
Укажите учетные записи в низкоуровневом формате. |
Примеры: domainNetBiosName\user |
Предварительные требования, связанные с разрешениями
Предварительное условие | Подробные или дополнительные сведения | ||||||||
---|---|---|---|---|---|---|---|---|---|
Вы должны быть локальным администратором на компьютере, на котором вы настраиваете компонент MBAM. |
|||||||||
Для выполнения всех командлетов Windows PowerShell используйте командную строку Windows PowerShell с повышенными привилегиями. |
|||||||||
Только для командлета Enable-MbamDatabase: У вас должны быть разрешения "Создание любой базы данных" для экземпляра целевой базы данных Microsoft SQL Server. Учетная запись пользователя должна входить в группу локальных администраторов или группу "Операторы архива" для регистрации модуля записи службы теневого копирования томов (VSS) MBAM. |
По умолчанию администратор базы данных или системный администратор имеет необходимые разрешения "Создание любой базы данных". Дополнительные сведения о модуле записи VSS см. в статье Служба теневого копирования томов. |
||||||||
Только для компонента Интеграция с System Center Configuration Manager: Пользователь, включающий этот компонент, должен иметь указанные ниже права в Configuration Manager. |
|
Использование Windows PowerShell для настройки MBAM на удаленном компьютере
Когда следует использовать эту возможность |
Когда необходимо настроить компоненты сервера MBAM 2.5 на удаленном компьютере. Командлеты Windows PowerShell выполняются на одном компьютере, а компоненты настраиваются на другом, удаленном компьютере. |
Необходимые действия |
Для настройки компонентов сервера Windows PowerShell с помощью MBAM 2.5 на удаленном компьютере необходимо:
|
Причины для их выполнения |
Этот протокол позволяет командлетам Windows PowerShell подключаться к доменным службам Active Directory с использованием учетных данных администратора. Если открыть сеанс Windows PowerShell без использования этого протокола, может произойти ошибка проверки. |
Открытие сеанса Windows PowerShell с использованием протокола CredSSP |
В командной строке Windows PowerShell введите следующий код:
Ниже приведен пример кода.
|
Требуемые учетные записи и соответствующие параметры командлета Windows PowerShell
В приведенной ниже таблице описываются учетные записи, требуемые для настройки компонентов сервера MBAM 2.5. В ней также приводятся соответствующие командлеты Windows PowerShell и параметры, для которых необходимо указать учетную запись во время настройки.
Командлет | Параметр | Тип (пользователь или группа) | Описание | ||
---|---|---|---|---|---|
Enable-MBAMDatabase |
AccessAccount |
Пользователь или группа |
Чтобы предоставить веб-приложениям доступ к данным и отчетам в базе данных, укажите пользователя или группу пользователей домена с разрешениями чтения и записи для этой базы данных. Если значение представляет собой пользователя домена, то в параметре WebServiceApplicationPoolCredential, используемом при выполнении командлета Enable-MbamWebApplication, должна быть указана учетная запись того же пользователя. Если значение представляет собой группу пользователей домена, то учетная запись домена, указываемая в параметре WebServiceApplicationPoolCredential, должна входить в эту группу. |
||
ReportAccount |
Пользователь или группа |
Чтобы предоставить отчетам MBAM доступ к данным о соответствии и аудите, укажите пользователя или группу пользователей домена с разрешением только на чтение для этой базы данных. Если значение представляет собой пользователя домена, то в параметре ComplianceAndAuditDBCredential командлета Enable-MbamReport должна быть указана учетная запись того же пользователя. Если значение представляет собой группу пользователей домена, то учетная запись домена, указываемая в параметре ComplianceAndAuditDBCredential, должна входить в эту группу. |
|||
Enable-MbamReport |
ComplianceAndAuditDBCredential |
User (Пользователь) |
Определяет учетные данные администратора, которые локальный экземпляр SSRS использует для связи с базой данных сведений о соответствии и аудите MBAM. Пользователь домена, которому принадлежат учетные данные администратора, должен являться пользователем учетной записи, указываемой в параметре ReportAccount, который используется при выполнении командлета Enable-MbamDatabase. Если в параметре ReportAccount указывалась группа пользователей домена, учетная запись должна входить в эту группу.
|
||
ReportsReadOnlyAccessGroup |
Группа |
Определяет группу пользователей домена, которая имеет разрешения на чтение отчетов. Указанная группа должна совпадать с группой, используемой в параметре ReportsReadOnlyAccessGroup командлета Enable-MbamWebApplication. |
|||
Enable-MBAMWebApplication |
|
|
|
||
AdvancedHelpdeskAccessGroup |
Группа |
Определяет группу пользователей домена, которая имеет доступ ко всем разделам веб-сайта администрирования и мониторинга, кроме раздела "Отчеты". |
|||
HelpdeskAccessGroup |
Группа |
Определяет группу пользователей домена, которая имеет доступ к разделам Управление TPM и Восстановление дисков веб-сайта администрирования и мониторинга. |
|||
ReportsReadOnlyAccessGroup |
Группа |
Определяет группу пользователей домена, которая имеет разрешение на чтение раздела Отчеты веб-сайта администрирования и мониторинга. Указанная группа должна совпадать с группой, используемой в параметре ReportsReadOnlyAccessGroup командлета Enable-MbamReport. |
|||
WebServiceApplicationPoolCredential |
User (Пользователь) |
Определяет пользователя домена, который будет использоваться пулом приложений для веб-приложений MBAM. Он должен совпадать с учетной записью пользователя домена, указываемой в параметре AccessAccount командлета Enable-MbamDatabase. Если при выполнении командлета AccessAccount в параметре Enable-MbamDatabase указывалась группа пользователей домена, то указываемый здесь пользователь домена должен входить в эту группу. Если не указать учетные данные администратора, будут использоваться учетные данные администратора, которые были заданы для ранее включенного веб-приложения. Все веб-приложения используют одни и те же учетные данные пула приложений. Если они были заданы несколько раз, используется значение, указанное последним.
|
Есть предложение для MBAM?
Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.
См. также
Концепции
Проверка настройки компонента MBAM Server
Использование Windows PowerShell для администрирования MBAM 2.5