使用 Windows PowerShell 配置 MBAM 2.5 服务器功能
安装 Microsoft BitLocker 管理和监视 (MBAM) 2.5 服务器软件后,可以使用 Windows PowerShell cmdlet 或 MBAM 服务器配置向导配置 MBAM 2.5 服务器功能。 本文介绍如何使用 Windows PowerShell cmdlet 配置 MBAM 2.5。 若要改用向导,请参阅 配置 MBAM 2.5 服务器功能。
有关用于管理 MBAM 的 Get-MbamBitLockerRecoveryKey 和 Get-MbamTPMOwnerPassword Windows PowerShell cmdlet 的信息,请参阅 使用 Windows PowerShell 管理 MBAM 2.5。
如何为 MBAM 2.5 加载 Windows PowerShell 帮助
有关 Windows PowerShell cmdlet 的列表,请参阅 使用 Windows PowerShell Microsoft桌面优化包自动化。
安装 MBAM 服务器软件后为 Windows PowerShell cmdlet 加载 MBAM 2.5 帮助
(ISE) 打开 Windows PowerShell 或 Windows PowerShell 集成脚本环境。
类型
Update-Help -Module Microsoft.MBAM
如何获取有关 MBAM Windows PowerShell cmdlet 的帮助
MBAM 的 Windows PowerShell 帮助以以下格式提供:
- 在 Windows PowerShell 命令提示符下,键入
Get-Help <cmdlet>- 若要上传最新的 Windows PowerShell cmdlet,请按照上一部分中的说明操作,了解如何为 MBAM 加载 Windows PowerShell 帮助。
- MDOP 自动化入门
- 下载 MDOP cmdlet 参考文档
只能在 Windows PowerShell 中执行但不能通过 MBAM 服务器配置向导执行的配置
| 只能使用 Windows PowerShell 执行的配置 | 详细信息 |
|---|---|
| 在与 Web 应用程序不同的计算机上安装 Web 服务。 | 使用向导,必须在同一台计算机上安装 Web 服务和 Web 应用程序。 |
| 在不安装所有 Configuration Manager 对象的情况下,在单独的 Reporting Services 点上启用报表。 | |
| 从 Configuration Manager 中删除所有对象。 | 删除对象后,会从 Configuration Manager 中删除所有符合性数据。 |
| 输入数据库的自定义连接字符串。 | 示例:若要将 Web 应用程序配置为使用镜像,必须使用 Enable-MbamWebApplication cmdlet 在连接字符串中指定适当的故障转移伙伴语法。 |
| 跳过验证并配置功能,即使先决条件检查失败也是如此。 |
注意
不能使用 Windows PowerShell cmdlet 或 MBAM 服务器配置向导禁用 MBAM 数据库。 若要防止意外删除合规性和审核数据,数据库管理员必须手动删除数据库。
使用 Windows PowerShell 配置 MBAM 服务器功能的先决条件和要求
在开始配置之前,请完成以下先决条件。
与帐户相关的先决条件
| 先决条件 | 详细信息或其他信息 |
|---|---|
| 创建所需的帐户。 | 请参阅本文后面的 必需帐户和相应的 Windows PowerShell cmdlet 参数 部分。 |
| 作为参数传递给 Windows PowerShell cmdlet 的用户帐户和组必须是域中的有效帐户。 | 不能使用本地帐户。 |
| 以下级格式指定帐户。 | 示例:domainNetBiosName\userdomainNetBiosName\group |
与权限相关的先决条件
- 必须是要在其中配置 MBAM 功能的本地计算机上的管理员。
- 使用提升的 Windows PowerShell 命令提示符运行所有 Windows PowerShell cmdlet。
仅适用于 Enable-MbamDatabase cmdlet:
- 必须对 SQL Server 数据库的目标实例具有“创建任何数据库”权限Microsoft。
- 默认情况下,数据库管理员或系统管理员具有所需的“创建任何数据库”权限。
- 此用户帐户必须是本地管理员组或备份操作员组的一部分,才能 (VSS) 编写器注册 MBAM 卷影复制服务。
- 有关 VSS 编写器的详细信息,请参阅 卷影复制服务。
仅对于 System Center Configuration Manager 集成 功能,启用此功能的用户必须在 Configuration Manager 中具有以下权限:
| Configuration Manager 中的权限类型 | 所需权限 |
|---|---|
| Configuration Manager 站点权限: | -读 |
| Configuration Manager 集合权限: | -创造 -删除 -读 -修改 - 部署配置项目 |
| Configuration Manager 配置项权限: | -创造 -删除 -读 |
使用 Windows PowerShell 在远程计算机上配置 MBAM
| 功能 | 详细信息 |
|---|---|
| 何时使用此功能 | 想要在远程计算机上配置 MBAM 2.5 服务器功能时。 Windows PowerShell cmdlet 在一台计算机上运行,你正在另一台远程计算机上配置这些功能。 |
| 你必须执行的操作 | 若要使用 Windows PowerShell 在远程计算机上配置 MBAM 2.5 服务器功能,必须:
|
| 为何必须执行此操作 | 此协议使 Windows PowerShell cmdlet 能够使用用户的管理凭据连接到 Active Directory 域服务。 如果在不使用此协议的情况下启动 Windows PowerShell 会话,可能会收到验证错误。 |
| 如何使用 CredSSP 协议启动 Windows PowerShell 会话 | 在 Windows PowerShell 提示符下键入以下代码:$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx以下代码显示了一个示例: $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
所需的帐户和相应的 Windows PowerShell cmdlet 参数
以下部分介绍配置 MBAM 2.5 服务器功能所需的帐户。 它还列出了在配置期间必须为其指定帐户的相应 Windows PowerShell cmdlet 和参数。
Cmdlet 参数类型 (用户或组) 说明
Enable-MBAMDatabase
AccessAccount
类型:用户或组
指定对此数据库具有读/写权限的域用户或组,以授予 Web 应用程序访问此数据库中的数据和报表的权限。 如果值为域用户,则在运行 Enable-MbamWebApplication cmdlet 时使用的 WebServiceApplicationPoolCredential 参数必须使用相同的用户帐户。 如果值为域用户组,则 WebServiceApplicationPoolCredential 参数使用的域帐户必须是此组的成员。
ReportAccount
类型:用户或组
指定对此数据库具有只读权限的域用户或用户组,以提供 MBAM 报告对合规性和审核数据的访问权限。 如果值为域用户,则 Enable-MbamReport cmdlet 的 ComplianceAndAuditDBCredential 参数必须使用相同的用户帐户。 如果值为域用户组,则 ComplianceAndAuditDBCredential 参数使用的域帐户必须是此组的成员。
Enable-MbamReport
ComplianceAndAuditDBCredential
类型:用户
指定本地 SSRS 实例用于连接到 MBAM 合规性和审核数据库的管理凭据。 管理凭据中的域用户必须与用于 ReportAccount 参数的用户帐户相同,该参数在运行 Enable-MbamDatabase cmdlet 时使用。 如果域用户组与 ReportAccount 参数一起使用,则此帐户应是该组的成员。
重要提示
管理凭据中指定的帐户应具有有限的用户权限,以提高安全性。 此外,帐户的密码应设置为“不过期”。
ReportsReadOnlyAccessGroup
类型:组
指定对报表具有读取权限的域用户组。 指定的组必须是 Enable-MbamWebApplication cmdlet 中用于 ReportsReadOnlyAccessGroup 参数的同一组。
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
类型:组
指定有权访问“管理”和“监视”网站所有区域(“报表”区域除外)的域用户组。
HelpdeskAccessGroup
类型:组
指定有权访问管理和监视网站的 “管理 TPM ”和 “驱动器恢复 ”区域的域用户组。
ReportsReadOnlyAccessGroup
类型:组
指定对管理和监视网站的 “报表” 区域具有读取权限的域用户组。 指定的组必须是 Enable-MbamReport cmdlet 中用于 ReportsReadOnlyAccessGroup 参数的同一组。
WebServiceApplicationPoolCredential
类型:用户
指定要由 MBAM Web 应用程序的应用程序池使用的域用户。 它必须是 Enable-MbamDatabase cmdlet 的 AccessAccount 参数中指定的同一域用户帐户。 如果在运行 Enable-MbamDatabase cmdlet 时 AccessAccount 参数使用了域用户组,则此处指定的域用户必须是该组的成员。 如果未指定管理凭据,将使用以前启用的任何 Web 应用程序指定的管理凭据。 所有 Web 应用程序都使用相同的应用程序池标识。 如果多次指定,则使用最近指定的值。
重要提示
为了提高安全性,请将管理凭据中指定的帐户设置为受限用户权限。 此外,将帐户的密码设置为永不过期。 确保内置IIS_IUSRS帐户或用于 WebServiceApplicationPoolCredential 参数的帐户已在身份验证本地安全设置 后添加到模拟客户端 。
若要查看本地安全设置,请打开 本地安全策略编辑器,展开“ 本地策略” 节点,选择“ 用户权限分配 ”节点,然后双击“ 身份验证后模拟客户端 ”,并在详细信息窗格中以 批处理作业身份登录 组策略设置。