规划 MBAM 2.5 组和帐户
本文列出了必须在 Active Directory 域服务中创建的角色和帐户,以便为 Microsoft BitLocker 管理和监视 (MBAM) 数据库、报表和 Web 应用程序提供安全和访问权限。 对于每个角色和帐户,提供了 MBAM 服务器配置向导中的相应字段。 有关与这些帐户对应的 Windows PowerShell cmdlet 和参数的列表,请参阅 使用 Windows PowerShell 配置 MBAM 2.5 服务器功能。
注意
MBAM 不支持使用托管服务帐户。
数据库帐户
为合规性和审核数据库以及恢复数据库创建以下帐户。
| 帐户名称和用途 | 帐户类型 | 与此帐户对应的 MBAM 服务器配置向导字段 | 与此帐户对应的 MBAM 服务器配置向导字段的说明 |
|---|---|---|---|
| 报表的合规性和审核数据库和恢复数据库读/写用户或组 | 用户或组 | 读取/写入访问域用户或组 | 对合规性和审核数据库以及恢复数据库具有读/写访问权限的域用户或组,使 Web 应用程序能够访问这些数据库中的数据和报表。 如果在此字段中输入用户名,该值必须与“配置 Web 应用程序”页上的“Web 服务应用程序池域帐户”字段中的值相同。 如果在此字段中输入组名称,则“配置 Web 应用程序”页上的“Web 服务应用程序池域帐户”字段中的值必须是在此字段中输入的组的成员。 |
| 报表的合规性和审核数据库只读用户或组 | 用户或组 | 只读访问域用户或组 | 对合规性和审核数据库具有只读访问权限的用户或组的名称,使报表能够访问此数据库中的合规性和审核数据。 如果在此字段中输入用户名,该用户名必须与在“配置报表”页上的“合规性和审核数据库域帐户”字段中指定的用户相同。 如果在此字段中输入组名称,在“配置报告”页上的“符合性和审核数据库域帐户”字段中指定的值必须是在此字段中指定的组的成员。 |
报告帐户
为“报表”功能创建以下帐户。
| 帐户名称/用途 | 帐户类型 | 与此帐户对应的 MBAM 服务器配置向导字段 | 与此帐户对应的 MBAM 服务器配置向导字段的说明 |
|---|---|---|---|
| 报告只读域访问组 | 组 | 报告角色域组 | 指定对管理和监视网站中的报表具有只读访问权限的域用户组。 启用 Web 应用时,指定的组必须与为“报表只读访问组”参数指定的组相同。 |
| 合规性和审核数据库域用户帐户 | 用户 | 合规性和审核数据库域帐户 | 本地 SQL Server Reporting Services 实例用于访问合规性和审核数据库的域用户帐户和密码。 此帐户需要对 SQL Server Reporting Services 服务器 具有批量登录 权限。 如果在“配置数据库”页上的“只读访问域用户或组”字段中输入的值是用户名,则必须在此字段中输入相同的值。 如果在“配置数据库”页上的“只读访问域用户或组”字段中输入的值是组名称,则在此字段中输入的值必须是该组的成员。 将此帐户的密码配置为永不过期。 用户帐户应能够访问 MBAM 报表用户组可用的所有数据。 |
管理和监视网站 (技术支持) 帐户
为管理和监视网站创建以下帐户。
| 帐户名称/用途 | 帐户类型 | 与此帐户对应的 MBAM 服务器配置向导字段 | 与此帐户对应的 MBAM 服务器配置向导字段的说明 |
|---|---|---|---|
| Web 服务应用程序池域帐户 | 用户 | Web 服务应用程序池域帐户 | 要由 Web 应用程序的应用程序池使用的域用户帐户。 如果在“配置数据库”页上的“读取/写入访问域用户或组”字段中输入用户名,则必须在此字段中输入相同的值。 如果在“配置数据库”页上的“读取/写入访问域用户或组”字段中输入组名称,则在此字段中输入的值必须是该组的成员。 如果未指定凭据,将使用为任何以前启用的 Web 应用程序指定的凭据。 所有 Web 应用程序都必须使用相同的应用程序池凭据。 如果为不同的 Web 应用程序指定不同的凭据,则使用最近指定的值。 重要提示:为了提高安全性,请将凭据中指定的帐户设置为具有有限的用户权限。 |
| MBAM 高级支持用户访问组 | 组 | MBAM 高级支持用户 | 其成员有权访问管理和监视网站的所有恢复区域的域用户组。 具有此角色的用户在帮助最终用户恢复其驱动器时,只需输入恢复密钥,而不输入最终用户的域和用户名。 如果用户同时是 MBAM 支持用户组和 MBAM 高级支持用户组的成员,则 MBAM 高级支持用户组权限将覆盖 MBAM 支持人员组权限。 |
| MBAM 支持用户访问组 | 组 | MBAM 支持人员用户 | 成员有权访问 MBAM 管理和监视网站的“管理 TPM”和“驱动器恢复”区域的域用户组。 具有此角色的个人在使用任一选项时,必须填写所有字段,包括最终用户的域和帐户名称。 如果用户同时是 MBAM 支持用户组和 MBAM 高级支持用户组的成员,则 MBAM 高级支持用户组权限将覆盖 MBAM 支持人员组权限。 |
| MBAM 报表用户访问组 | 组 | MBAM 报表用户 | 域用户组,其成员对“管理和监视”网站的“报表”区域中的报表具有只读访问权限。 |
| MBAM 数据迁移用户组 | 组 | MBAM 数据迁移用户 | 可选域用户组,其成员有权使用 MBAM 服务器上运行的 MBAM 恢复和硬件服务将数据写入 MBAM。 此帐户与 cmdlet 一起使用, Write-Mbam* 将恢复和 TPM 数据从 Active Directory 写入 MBAM 数据库。有关详细信息,请参阅 MBAM 2.5 安全注意事项。 |