Planen von MBAM 2.5-Gruppen und -Konten

  • Artikel

In diesem Artikel werden die Rollen und Konten aufgeführt, die Sie in Active Directory Domain Services erstellen müssen, um Sicherheits- und Zugriffsrechte für die MBAM-Datenbanken (Microsoft BitLocker Administration and Monitoring, Verwaltung und Überwachung) und -Webanwendungen bereitzustellen. Für jede Rolle und jedes Konto wird das entsprechende Feld im MBAM-Serverkonfigurations-Assistenten bereitgestellt. Eine Liste der Windows PowerShell-Cmdlets und -Parameter, die diesen Konten entsprechen, finden Sie unter Konfigurieren von MBAM 2.5-Serverfeatures mit Windows PowerShell.

Hinweis

MBAM unterstützt die Verwendung von verwalteten Dienstkonten nicht.

Datenbankkonten

Erstellen Sie die folgenden Konten für die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank.

Kontoname und Zweck Kontotyp Feld des MBAM-Serverkonfigurations-Assistenten, das diesem Konto entspricht Beschreibung des Felds "MBAM-Serverkonfigurations-Assistent", das diesem Konto entspricht
Compliance und Überwachung von Datenbank- und Wiederherstellungsdatenbanken mit Lese-/Schreibzugriff für Benutzer oder Gruppen für Berichte Benutzer oder Gruppe Domänenbenutzer oder -gruppe mit Lese-/Schreibzugriff Domänenbenutzer oder -gruppe mit Lese-/Schreibzugriff auf die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank, damit die Webanwendungen auf die Daten und Berichte in diesen Datenbanken zugreifen können.
Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss dieser wert mit dem Wert im Domänenkonto des Webdienstanwendungspools auf der Seite Webanwendungen konfigurieren identisch sein.
Wenn Sie einen Gruppennamen in dieses Feld eingeben, muss der Wert im Domänenkonto des Webdienstanwendungspools auf der Seite Webanwendungen konfigurieren ein Mitglied der Gruppe sein, die Sie in dieses Feld eingeben.
Compliance- und Überwachungsdatenbank : Schreibgeschützter Benutzer oder eine Gruppe für Berichte Benutzer oder Gruppe Domänenbenutzer oder -gruppe mit schreibgeschütztem Zugriff Name des Benutzers oder der Gruppe, der schreibgeschützten Zugriff auf die Kompatibilitäts- und Überwachungsdatenbank hat, damit die Berichte auf die Konformitäts- und Überwachungsdaten in dieser Datenbank zugreifen können.
Wenn Sie einen Benutzernamen in dieses Feld eingeben, muss es sich um denselben Benutzer handeln, den Sie im Feld Kompatibilitäts- und Überwachungsdatenbankdomänenkonto auf der Seite Berichte konfigurieren angeben.
Wenn Sie einen Gruppennamen in dieses Feld eingeben, muss der Wert, den Sie im Feld Kompatibilitäts- und Überwachungsdatenbankdomänenkonto auf der Seite Berichte konfigurieren angeben, ein Mitglied der Gruppe sein, die Sie in diesem Feld angeben.

Berichterstellungskonten

Erstellen Sie die folgenden Konten für das Berichtsfeature.

Kontoname/Zweck Kontotyp Feld des MBAM-Serverkonfigurations-Assistenten, das diesem Konto entspricht Beschreibung des Felds "MBAM-Serverkonfigurations-Assistent", das diesem Konto entspricht
Meldet schreibgeschützte Domänenzugriffsgruppe Gruppe Berichtsrollendomänengruppe Gibt die Domänenbenutzergruppe an, die schreibgeschützten Zugriff auf die Berichte auf der Verwaltungs- und Überwachungswebsite hat. Die Gruppe, die Sie angeben, muss dieselbe Gruppe sein, die Sie für den Parameter "Berichte schreibgeschützte Zugriffsgruppe" angegeben haben, wenn die Web-Apps aktiviert sind.
Compliance- und Überwachungsdatenbank-Domänenbenutzerkonto Benutzer Kompatibilitäts- und Überwachungsdatenbankdomänenkonto Domänenbenutzerkonto und Kennwort, das die lokale SQL Server Reporting Services-Instanz für den Zugriff auf die Kompatibilitäts- und Überwachungsdatenbank verwendet. Dieses Konto erfordert Anmelderechte als Batch für den SQL Server Reporting Services-Server.
Wenn der Wert, den Sie im Feld Benutzer oder Gruppe der Schreibgeschützten Zugriffsdomäne auf der Seite Datenbanken konfigurieren eingeben, ein Benutzername ist, müssen Sie denselben Wert in dieses Feld eingeben.
Wenn der Wert, den Sie im Feld Benutzer oder Gruppe der Schreibgeschützten Zugriffsdomäne auf der Seite Datenbanken konfigurieren eingeben, ein Gruppenname ist, muss der Wert, den Sie in dieses Feld eingeben, mitglied dieser Gruppe sein.
Konfigurieren Sie das Kennwort für dieses Konto so, dass es nie abläuft. Das Benutzerkonto sollte auf alle Daten zugreifen können, die für die Gruppe MBAM Reports Users verfügbar sind.

Konten der Verwaltungs- und Überwachungswebsite (Helpdesk)

Erstellen Sie die folgenden Konten für die Verwaltungs- und Überwachungswebsite.

Kontoname/Zweck Kontotyp Feld des MBAM-Serverkonfigurations-Assistenten, das diesem Konto entspricht Beschreibung des Felds "MBAM-Serverkonfigurations-Assistent", das diesem Konto entspricht
Domänenkonto für den Webdienstanwendungspool Benutzer Domänenkonto für den Webdienstanwendungspool Domänenbenutzerkonto, das vom Anwendungspool für die Webanwendungen verwendet werden soll.
Wenn Sie auf der Seite Datenbanken konfigurieren im Feld Benutzer oder Gruppe für Lese-/Schreibzugriffsdomäne einen Benutzernamen eingeben, müssen Sie denselben Wert in dieses Feld eingeben.
Wenn Sie auf der Seite Datenbanken konfigurieren einen Gruppennamen in das Feld Benutzer oder Gruppe der Lese-/Schreibzugriffsdomäne eingeben, muss der Wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein.
Wenn Sie keine Anmeldeinformationen angeben, werden die Anmeldeinformationen verwendet, die für eine zuvor aktivierte Webanwendung angegeben wurden. Alle Webanwendungen müssen die gleichen Anmeldeinformationen für den Anwendungspool verwenden. Wenn Sie unterschiedliche Anmeldeinformationen für verschiedene Webanwendungen angeben, wird der zuletzt angegebene Wert verwendet.
Wichtig: Um die Sicherheit zu verbessern, legen Sie für das in den Anmeldeinformationen angegebene Konto eingeschränkte Benutzerrechte fest.
Zugriffsgruppe "MBAM Advanced Helpdesk Users" (Benutzerzugriffsgruppe für MBAM Advanced Helpdesk-Benutzer) Gruppe MBAM Advanced Helpdesk-Benutzer Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Wiederherstellungsbereiche der Verwaltungs- und Überwachungswebsite haben. Benutzer mit dieser Rolle müssen nur den Wiederherstellungsschlüssel und nicht die Domäne und den Benutzernamen des Endbenutzers eingeben, wenn sie Endbenutzern bei der Wiederherstellung ihrer Laufwerke helfen. Wenn ein Benutzer Sowohl mitglied der Gruppe MBAM Helpdesk-Benutzer als auch der Gruppe MBAM Advanced Helpdesk Users ist, setzen die Berechtigungen der MBAM Advanced Helpdesk-Benutzer die Berechtigungen der MBAM Helpdesk-Gruppe außer Kraft.
Zugriffsgruppe "MBAM Helpdesk-Benutzer" Gruppe MBAM Helpdesk-Benutzer Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung der MBAM Administration and Monitoring-Website haben. Personen mit dieser Rolle müssen alle Felder ausfüllen, einschließlich der Domäne und des Kontonamens des Endbenutzers, wenn sie eine der beiden Optionen verwenden.
Wenn ein Benutzer Sowohl mitglied der Gruppe MBAM Helpdesk-Benutzer als auch der Gruppe MBAM Advanced Helpdesk Users ist, setzen die Berechtigungen der MBAM Advanced Helpdesk-Benutzer die Berechtigungen der MBAM Helpdesk-Gruppe außer Kraft.
MBAM-Berichtsbenutzer-Zugriffsgruppe Gruppe MBAM-Berichtsbenutzer Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf die Berichte im Bereich Berichte der Verwaltungs- und Überwachungswebsite haben.
MBAM-Datenmigration – Benutzergruppe Gruppe MBAM-Datenmigrationsbenutzer Optionale Domänenbenutzergruppe, deren Mitglieder über Berechtigungen zum Schreiben von Daten in MBAM verfügen, indem sie den MBAM-Wiederherstellungs- und Hardwaredienst verwenden, der auf dem MBAM-Server ausgeführt wird. Dieses Konto wird zusammen mit den Write-Mbam* Cmdlets verwendet, um Wiederherstellungs- und TPM-Daten aus Active Directory in die MBAM-Datenbank zu schreiben.
Weitere Informationen finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

Vorbereiten Ihrer Umgebung für MBAM 2.5

MBAM 2.5-Servervoraussetzungen für eigenständige Und Configuration Manager-Integrationstopologien