使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能
安裝 MBAM 2.5 伺服器軟體之後,您可以使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈來設定 MBAM 2.5 伺服器功能。 本主題描述如何使用 Windows PowerShell Cmdlet 來設定 MBAM 2.5。 若要改用精靈, 請參閱設定 MBAM 2.5 伺服器功能。
本主題內容
本主題包含下列有關使用 Windows PowerShell 設定 MBAM 的資訊:
如需Get-MbamBitLockerRecoveryKey和Get-MbamTPMOwnerPassword Windows PowerShell Cmdlet 的相關資訊,請參閱使用 Windows PowerShell 管理 MBAM 2.5。
如何載入 MBAM 2.5 的Windows PowerShell說明
如需 TechNet 上Windows PowerShell Cmdlet 的清單,請參閱Microsoft Desktop Optimization Pack Automation with Windows PowerShell。
安裝 MBAM 伺服器軟體之後載入 MBAM 2.5 說明以Windows PowerShell Cmdlet
開啟 Windows PowerShell 或 Windows PowerShell 整合式腳本環境 (ISE) 。
輸入 Update-Help –Module Microsoft.MBAM。
如何取得 MBAM Windows PowerShell Cmdlet 的相關說明
Windows PowerShell MBAM 的說明提供下列格式:
| Windows PowerShell說明格式 | 其他資訊 |
|---|---|
在Windows PowerShell命令提示字元中,輸入Get-Help<Cmdlet> |
若要上傳最新的 Windows PowerShell Cmdlet,請遵循上一節中有關如何載入 MBAM Windows PowerShell說明的指示。 |
在 TechNet 上作為網頁 |
|
在下載中心做為 Word .docx檔案 |
|
在下載中心作為.pdf檔案 |
您只能使用 MBAM 伺服器組態精靈執行Windows PowerShell但無法使用 MBAM 伺服器設定精靈執行的設定
| 您只能使用 Windows PowerShell | 詳細資料 |
|---|---|
在不同于 Web 應用程式的電腦上安裝 Web 服務。 |
使用精靈,您必須在相同的電腦上安裝 Web 服務和 Web 應用程式。 |
在個別的 Reporting Services 點上啟用報表,而不需要安裝所有Configuration Manager物件。 |
|
從Configuration Manager刪除所有物件。 |
接著刪除 物件會從Configuration Manager中刪除所有合規性資料。 |
輸入資料庫的自訂連接字串。 |
範例:若要設定 Web 應用程式以使用鏡像,您必須使用 Enable-MbamWebApplication Cmdlet,在連接字串中指定適當的容錯移轉夥伴語法。 |
即使必要條件檢查失敗,仍略過驗證並設定功能。 |
注意您無法使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈停用 MBAM 資料庫。 若要防止意外移除您的合規性和稽核資料,資料庫管理員必須手動移除資料庫。
使用 Windows PowerShell 設定 MBAM 伺服器功能的必要條件和需求
開始設定之前,請先完成下列必要條件。
帳戶相關必要條件
| 前提 | 詳細資料或其他資訊 |
|---|---|
建立必要的帳戶。 |
請參閱本主題稍後的必要帳戶和對應的Windows PowerShell Cmdlet 參數一節。 |
您作為參數傳遞給Windows PowerShell Cmdlet 的使用者帳戶和群組,必須是網域中的有效帳戶。 |
您無法使用本機帳戶。 |
以下層格式指定帳戶。 |
範例: domainNetBiosName\userdomainNetBiosName\group |
許可權相關的必要條件
| 前提 | 詳細資料或其他資訊 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
您必須是設定 MBAM 功能之本機電腦上的系統管理員。 |
|||||||||
使用提升許可權Windows PowerShell命令提示字元來執行所有Windows PowerShell Cmdlet。 |
|||||||||
僅適用于 Enable-MbamDatabase Cmdlet: 您必須擁有目標 Microsoft SQL Server 資料庫實例的「建立任何資料庫」許可權。 此使用者帳戶必須是本機系統管理員群組或備份操作員群組的一部分,才能註冊 MBAM 磁片區陰影複製服務 (VSS) 寫入器。 |
根據預設,資料庫管理員或系統管理員具有必要的「建立任何資料庫」許可權。 如需 VSS 寫入器的詳細資訊,請參閱 磁片區陰影複製服務。 |
||||||||
僅適用于System Center Configuration Manager整合功能: 啟用此功能的使用者必須具有下列Configuration Manager許可權: |
|
使用Windows PowerShell在遠端電腦上設定 MBAM
使用此功能的時機 |
當您想要在遠端電腦上設定 MBAM 2.5 伺服器功能時。 Windows PowerShell Cmdlet 會在一部電腦上執行,而您正在不同的遠端電腦上設定功能。 |
您必須執行的動作 |
若要使用Windows PowerShell在遠端電腦上設定 MBAM 2.5 伺服器功能,您必須:
|
為什麼您必須這麼做 |
此通訊協定可讓Windows PowerShell Cmdlet 使用使用者的系統管理認證連線到Active Directory 網域服務。 如果您在沒有此通訊協定的情況下啟動Windows PowerShell會話,可能會收到驗證錯誤。 |
如何使用 CredSSP 通訊協定啟動Windows PowerShell會話 |
在Windows PowerShell提示字元中輸入下列程式碼:
下列程式碼顯示一個範例。
|
必要的帳戶和對應的 Windows PowerShell Cmdlet 參數
下表描述設定 MBAM 2.5 伺服器功能所需的帳戶。 它也會列出您必須在設定期間指定帳戶的對應 Windows PowerShell Cmdlet 和參數。
使用者或群組) 描述 (Cmdlet 參數類型Enable-MBAMDatabase
AccessAccount
使用者或群組
指定具有此資料庫讀取/寫入權限的網域使用者或群組,讓 Web 應用程式能夠存取此資料庫中的資料和報表。 如果值是網域使用者,則執行Enable-MbamWebApplicationCmdlet 時所使用的 WebServiceApplicationPoolCredential參數必須使用相同的使用者帳戶。 如果值是網域使用者群組, 則 WebServiceApplicationPoolCredential 參數所使用的網域帳戶必須是此群組的成員。
ReportAccount
使用者或群組
指定具有此資料庫唯讀許可權的網域使用者或使用者群組,以提供 MBAM 報告對合規性和稽核資料的存取權。 如果值是網域使用者,則Enable-MbamReportCmdlet 的 ComplianceAndAuditDBCredential參數必須使用相同的使用者帳戶。 如果值是網域使用者群組,則 ComplianceAndAuditDBCredential 參數所使用的網域帳戶必須是此群組的成員。
Enable-MbamReport
ComplianceAndAuditDBCredential
使用者
指定本機 SSRS 實例用來連線到 MBAM 合規性和稽核資料庫的系統管理認證。 系統管理認證中的網域使用者必須與用於 ReportAccount 參數的使用者帳戶相同,這會在執行 Enable-MbamDatabase Cmdlet 時使用。 如果網域使用者群組與 ReportAccount 參數搭配使用,此帳戶應該是該群組的成員。
重要 系統管理認證中指定的帳號應具有有限的使用者權限,以提升安全性。 此外,帳戶的密碼應該設定為不會過期。
ReportsReadOnlyAccessGroup
群組
指定具有報表讀取權限的網域使用者群組。 指定的群組必須是Enable-MbamWebApplication Cmdlet 中ReportsReadOnlyAccessGroup參數所使用的相同群組。
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
群組
指定 [網域使用者] 群組,該群組可存取 [管理和監視網站] 區域以外的所有區域。報表區域除外。
HelpdeskAccessGroup
群組
指定可存取管理與監視網站之 [管理 TPM 和 磁片磁碟機復原 ] 區域的網域使用者群組。
ReportsReadOnlyAccessGroup
群組
指定具有 Administration and Monitoring Website [ 報告 ] 區域讀取權限的網域使用者群組。 指定的群組必須是Enable-MbamReport Cmdlet 中ReportsReadOnlyAccessGroup參數所使用的相同群組。
WebServiceApplicationPoolCredential
使用者
指定應用程式集區要用於 MBAM Web 應用程式的網域使用者。 它必須是Enable-MbamDatabase Cmdlet 的AccessAccount參數中指定的相同網域使用者帳戶。 如果 AccessAccount 參數在執行 Enable-MbamDatabase Cmdlet 時使用網域使用者群組,則此處指定的網域使用者必須是該群組的成員。 如果您未指定系統管理認證,則會使用任何先前啟用的 Web 應用程式所指定的系統管理認證。 所有 Web 應用程式都會使用相同的應用程式集區身分識別。 如果多次指定,則會使用最近指定的值。
重要 為了改善安全性,請將系統管理認證中指定的帳號設定為有限的使用者權限。 此外,請將帳戶的密碼設定為永不過期。 確定已在驗證本機安全性設定之後,將內建IIS_IUSRS帳戶或用於 WebServiceApplicationPoolCredential 參數的 帳戶新增至 模擬客戶 端。
若要檢視本機安全性設定,請開啟 [本機安全性原則編輯器],展開 [本機原則] 節點,選取 [使用者權限指派] 節點,然後在驗證之後按兩下 [模擬客戶端],然後在詳細資料窗格中以批次作業群組原則設定登入。
相關主題
使用 Windows PowerShell 管理 MBAM 2.5
有 MBAM 的建議嗎?
針對 MBAM 問題,請使用 MBAM TechNet 論壇。