Konfigurieren von MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell

  • Artikel

Nachdem Sie die Microsoft BitLocker Administration and Monitoring (MBAM) 2.5-Serversoftware installiert haben, können Sie MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell-Cmdlets oder dem MBAM-Serverkonfigurations-Assistenten konfigurieren. In diesem Artikel wird beschrieben, wie Sie MBAM 2.5 mithilfe der Windows PowerShell-Cmdlets konfigurieren. Informationen zur Verwendung des Assistenten finden Sie unter Konfigurieren der MBAM 2.5-Serverfeatures.

Informationen zu den Windows PowerShell-Cmdlets Get-MbamBitLockerRecoveryKey und Get-MbamTPMOwnerPassword , die zum Verwalten von MBAM verwendet werden, finden Sie unter Verwenden von Windows PowerShell zum Verwalten von MBAM 2.5.

Laden der Windows PowerShell-Hilfe für MBAM 2.5

Eine Liste der Windows PowerShell-Cmdlets finden Sie unter Microsoft Desktop Optimization Pack Automation mit Windows PowerShell.

So laden Sie die MBAM 2.5-Hilfe für Windows PowerShell-Cmdlets nach der Installation der MBAM-Serversoftware

  1. Öffnen Sie Windows PowerShell oder Windows PowerShell Integrated Scripting Environment (ISE).

  2. Art Update-Help -Module Microsoft.MBAM

So erhalten Sie Hilfe zu einem MBAM-Windows PowerShell-Cmdlet

Die Windows PowerShell-Hilfe für MBAM ist in den folgenden Formaten verfügbar:

Konfigurationen, die Sie nur mit Windows PowerShell, aber nicht mit dem MBAM-Serverkonfigurations-Assistenten ausführen können

Konfigurationen, die nur mit Windows PowerShell möglich sind Details
Installieren Sie die Webdienste auf einem anderen Computer als die Webanwendungen. Mithilfe des Assistenten müssen Sie die Webdienste und Webanwendungen auf demselben Computer installieren.
Aktivieren Sie Berichte für einen separaten Reporting Services-Punkt, ohne alle Configuration Manager-Objekte zu installieren.
Löschen Sie alle Objekte aus Configuration Manager. Durch das Löschen der Objekte werden wiederum alle Konformitätsdaten aus Configuration Manager gelöscht.
Geben Sie eine benutzerdefinierte Verbindungszeichenfolge für die Datenbanken ein. Beispiel: Um die Webanwendungen für die Verwendung der Spiegelung zu konfigurieren, müssen Sie das Cmdlet Enable-MbamWebApplication verwenden, um die entsprechende Failoverpartnersyntax in der Verbindungszeichenfolge anzugeben.
Überspringen Sie die Überprüfung, und konfigurieren Sie ein Feature, obwohl bei der Voraussetzungsprüfung ein Fehler aufgetreten ist.

Hinweis

Sie können die MBAM-Datenbanken nicht mit einem Windows PowerShell-Cmdlet oder dem MBAM-Serverkonfigurations-Assistenten deaktivieren. Um das versehentliche Entfernen Ihrer Konformitäts- und Überwachungsdaten zu verhindern, müssen Datenbankadministratoren Datenbanken manuell entfernen.

Voraussetzungen und Anforderungen für die Verwendung von Windows PowerShell zum Konfigurieren von MBAM-Serverfeatures

Bevor Sie mit der Konfiguration beginnen, müssen Sie die folgenden Voraussetzungen erfüllen.

Voraussetzung Details oder zusätzliche Informationen
Erstellen Sie die erforderlichen Konten. Weitere Informationen finden Sie im Abschnitt Erforderliche Konten und entsprechende Windows PowerShell-Cmdlet-Parameter weiter unten in diesem Artikel.
Benutzerkonten und Gruppen, die Sie als Parameter an die Windows PowerShell-Cmdlets übergeben, müssen gültige Konten in der Domäne sein. Sie können keine lokalen Konten verwenden.
Geben Sie Konten im down-level-Format an. Beispiele:
domainNetBiosName\user
domainNetBiosName\group
  • Sie müssen Administrator auf dem lokalen Computer sein, auf dem Sie das MBAM-Feature konfigurieren.
  • Verwenden Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten, um alle Windows PowerShell-Cmdlets auszuführen.

Nur für das Cmdlet Enable-MbamDatabase :

  • Sie müssen über die Berechtigungen "Beliebige Datenbank erstellen" für die Instanz der Microsoft SQL Server-Zieldatenbank verfügen.
  • Standardmäßig verfügt der Datenbankadministrator oder Systemadministrator über die erforderlichen Berechtigungen zum Erstellen einer beliebigen Datenbank.
  • Dieses Benutzerkonto muss Teil der lokalen Administratorgruppe oder der Gruppe Sicherungsoperatoren sein, um den MBAM Volume Shadow Copy Service (VSS) Writer zu registrieren.
  • Weitere Informationen zu VSS Writer finden Sie unter Volumeschattenkopie-Dienst.

Nur für das System Center Configuration Manager-Integrationsfeature muss der Benutzer, der dieses Feature aktiviert, über die folgenden Rechte in Configuration Manager verfügen:

Berechtigungstyp in Configuration Manager Erforderliche Rechte
Configuration Manager-Standortrechte: -Lesen
Configuration Manager-Sammlungsrechte: -Schaffen
-Löschen
-Lesen
-Modifizieren
– Bereitstellen von Konfigurationselementen
Configuration Manager-Konfigurationselementrechte: -Schaffen
-Löschen
-Lesen

Verwenden von Windows PowerShell zum Konfigurieren von MBAM auf einem Remotecomputer

Funktion Details
Wann sollte diese Funktion verwendet werden? Wenn Sie die MBAM 2.5-Serverfeatures auf einem Remotecomputer konfigurieren möchten. Die Windows PowerShell-Cmdlets werden auf einem Computer ausgeführt, und Sie konfigurieren die Features auf einem anderen Remotecomputer.
Was Sie tun müssen Um Windows PowerShell zum Konfigurieren von MBAM 2.5-Serverfeatures auf einem Remotecomputer zu verwenden, müssen Sie:
  • Stellen Sie sicher, dass die MBAM 2.5-Serversoftware auf dem Remotecomputer installiert wurde.
  • Verwenden Sie das CredSSP-Protokoll (Credential Security Support Provider), um die Windows PowerShell-Sitzung zu öffnen.
  • Aktivieren Sie die Windows-Remoteverwaltung (WinRM). Wenn Sie WinRM nicht aktivieren und ordnungsgemäß konfigurieren können, zeigt das in dieser Tabelle beschriebene Cmdlet New-PSSession einen Fehler an und beschreibt, wie das Problem behoben wird. Weitere Informationen zu WinRM finden Sie unter Verwenden der Windows-Remoteverwaltung.
Warum Sie es tun müssen Dieses Protokoll ermöglicht es den Windows PowerShell-Cmdlets, mithilfe der Administratoranmeldeinformationen des Benutzers eine Verbindung mit Active Directory Domain Services herzustellen. Möglicherweise erhalten Sie einen Überprüfungsfehler, wenn Sie die Windows PowerShell-Sitzung ohne dieses Protokoll starten.
Starten einer Windows PowerShell-Sitzung mit dem CredSSP-Protokoll Geben Sie an der Windows PowerShell-Eingabeaufforderung den folgenden Code ein:
$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx
Der folgende Code zeigt ein Beispiel:
$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)
Enter-PSSession $session

Erforderliche Konten und entsprechende Windows PowerShell-Cmdlet-Parameter

In den folgenden Abschnitten werden die Konten beschrieben, die zum Konfigurieren von MBAM 2.5-Serverfeatures erforderlich sind. Außerdem werden das entsprechende Windows PowerShell-Cmdlet und der Parameter aufgelistet, für die Sie das Konto während der Konfiguration angeben müssen.

Beschreibung des Cmdlet-Parametertyps (Benutzer oder Gruppe)

Enable-MBAMDatabase

AccessAccount

Typ: Benutzer oder Gruppe

Geben Sie einen Domänenbenutzer oder eine Gruppe mit Lese-/Schreibberechtigung für diese Datenbank an, um den Webanwendungen Zugriff auf Daten und Berichte in dieser Datenbank zu gewähren. Wenn der Wert ein Domänenbenutzer ist, muss der WebServiceApplicationPoolCredential-Parameter , der beim Ausführen des Cmdlets Enable-MbamWebApplication verwendet wird, dasselbe Benutzerkonto verwenden. Wenn der Wert eine Domänengruppe Benutzer ist, muss das Domänenkonto, das vom Parameter WebServiceApplicationPoolCredential verwendet wird, Mitglied dieser Gruppe sein.

ReportAccount

Typ: Benutzer oder Gruppe

Geben Sie einen Domänenbenutzer oder eine Benutzergruppe mit schreibgeschützter Berechtigung für diese Datenbank an, um den MBAM-Berichten Zugriff auf die Konformitäts- und Überwachungsdaten zu gewähren. Wenn der Wert ein Domänenbenutzer ist, muss der Parameter ComplianceAndAuditDBCredential des Cmdlets Enable-MbamReport dasselbe Benutzerkonto verwenden. Wenn der Wert eine Domänenbenutzergruppe ist, muss das Domänenkonto, das vom Parameter ComplianceAndAuditDBCredential verwendet wird, Mitglied dieser Gruppe sein.

Enable-MbamReport

ComplianceAndAuditDBCredential

Typ: Benutzer

Gibt die Administratoranmeldeinformationen an, die die lokale SSRS-Instanz verwendet, um eine Verbindung mit der MBAM-Konformitäts- und Überwachungsdatenbank herzustellen. Der Domänenbenutzer in den Administratoranmeldeinformationen muss mit dem Benutzerkonto identisch sein, das für den Parameter ReportAccount verwendet wird, der beim Ausführen des Cmdlets Enable-MbamDatabase verwendet wird. Wenn eine Domänenbenutzergruppe mit dem ReportAccount-Parameter verwendet wurde, sollte dieses Konto Mitglied dieser Gruppe sein.

Wichtig

Das in den Administratoranmeldeinformationen angegebene Konto sollte aus Sicherheitsgründen über eingeschränkte Benutzerrechte verfügen. Außerdem sollte das Kennwort des Kontos so festgelegt werden, dass es nicht abläuft.

ReportsReadOnlyAccessGroup

Typ: Gruppe

Gibt die Domänenbenutzergruppe an, die über Leseberechtigungen für die Berichte verfügt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den ReportsReadOnlyAccessGroup-Parameter im Cmdlet Enable-MbamWebApplication verwendet wird.

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Typ: Gruppe

Gibt die Domänengruppe Benutzer an, die Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite mit Ausnahme des Berichtsbereichs hat.

HelpdeskAccessGroup

Typ: Gruppe

Gibt die Domänengruppe Benutzer an, die Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung der Verwaltungs- und Überwachungswebsite hat.

ReportsReadOnlyAccessGroup

Typ: Gruppe

Gibt die Domänengruppe Benutzer an, die über leseberechtigung für den Bereich Berichte der Verwaltungs- und Überwachungswebsite verfügt. Die angegebene Gruppe muss dieselbe Gruppe sein, die für den ReportsReadOnlyAccessGroup-Parameter im Cmdlet Enable-MbamReport verwendet wird.

WebServiceApplicationPoolCredential

Typ: Benutzer

Gibt den Domänenbenutzer an, der vom Anwendungspool für die MBAM-Webanwendungen verwendet werden soll. Es muss sich um dasselbe Domänenbenutzerkonto handeln, das im AccessAccount-Parameter des Cmdlets Enable-MbamDatabase angegeben ist. Wenn beim Ausführen des Cmdlets Enable-MbamDatabase vom AccessAccount-Parameter eine Domänengruppe Benutzer verwendet wurde, muss der hier angegebene Domänenbenutzer Mitglied dieser Gruppe sein. Wenn Sie die Administratoranmeldeinformationen nicht angeben, werden die Administratoranmeldeinformationen verwendet, die von einer zuvor aktivierten Webanwendung angegeben wurden. Alle Webanwendungen verwenden dieselbe Anwendungspoolidentität. Wenn sie mehrmals angegeben wird, wird der zuletzt angegebene Wert verwendet.

Wichtig

Um die Sicherheit zu verbessern, legen Sie das konto, das in den Administratoranmeldeinformationen angegeben ist, auf eingeschränkte Benutzerrechte fest. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft. Stellen Sie sicher, dass entweder das integrierte IIS_IUSRS-Konto oder das Konto, das für den Parameter WebServiceApplicationPoolCredential verwendet wird, der lokalen Sicherheitseinstellung Clientidentität nach Authentifizierung annehmen hinzugefügt wurde.

Um die lokale Sicherheitseinstellung anzuzeigen, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten Lokale Richtlinien , wählen Sie den Knoten Zuweisung von Benutzerrechten aus, und doppelklicken Sie dann im Detailbereich auf die Gruppenrichtlinieneinstellungen Clientidentität annehmen nach der Authentifizierung und Anmelden als Batchauftrag .

Konfigurieren der MBAM 2.5-Serverfeatures

Überprüfen der Konfiguration des MBAM 2.5-Serverfeatures

Verwenden von Windows PowerShell zum Verwalten von MBAM 2.5