Planification des comptes et groupes MBAM 2.5

Article
11/17/2015

Mis à jour: mai 2014

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Cette rubrique répertorie les rôles et les comptes que vous devez créer dans les services de domaine Active Directory (AD DS) pour assurer la sécurité et fournir des droits d'accès pour les bases de données Microsoft BitLocker Administration and Monitoring (MBAM), les rapports et les applications web. Pour chaque rôle et compte, le champ correspondant dans l'Assistant Configuration du serveur MBAM est indiqué. Pour obtenir une liste des applets de commande et paramètres Windows PowerShell qui correspondent à ces comptes, consultez Required accounts and corresponding Windows PowerShell cmdlet parameters.

Notes

MBAM ne prend pas en charge l'utilisation des comptes de service gérés.

Comptes des bases de données

Créez les comptes suivants pour la base de données de conformité et d'audit et la base de données de récupération.

Nom du compte et objectif	Type de compte	Champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte	Description du champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte
Groupe ou utilisateur avec un accès en lecture/écriture à la base de données de conformité et d'audit et la base de données de récupération pour les rapports	Utilisateur ou groupe	Groupe ou utilisateur de domaine avec un accès en lecture/écriture	Groupe ou utilisateur de domaine avec un accès en lecture/écriture à la base de données de conformité et d'audit et la base de données de récupération pour permettre aux applications web d'accéder aux données et rapports dans ces bases de données. Si vous entrez un nom d'utilisateur dans ce champ, la valeur doit être identique à celle du champ Compte de domaine du pool d'applications de services web dans la page Configurer les applications web. Si vous entrez un nom de groupe dans ce champ, la valeur du champ Compte de domaine du pool d'applications de services web dans la page Configurer les applications web doit être un membre du groupe que vous entrez dans ce champ.
Groupe ou utilisateur avec un accès en lecture seule à la base de données de conformité et d'audit pour les rapports	Utilisateur ou groupe	Groupe ou utilisateur de domaine avec un accès en lecture seule	Nom de l'utilisateur ou du groupe avec un accès en lecture seule à la base de données de conformité et d'audit pour permettre aux rapports d'accéder aux données de conformité et d'audit dans cette base de données. Si vous entrez un nom d'utilisateur dans ce champ, il doit s'agir du même utilisateur que celui que vous spécifiez dans le champ Compte de domaine de la base de données de conformité et d'audit sur la page Configurer les rapports. Si vous entrez un nom de groupe dans ce champ, la valeur que vous spécifiez dans le champ Compte de domaine de la base de données de conformité et d'audit sur la page Configurer les rapports doit être un membre du groupe que vous spécifiez dans ce champ.

Nom du compte et objectif

Type de compte

Champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte

Description du champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte

Groupe ou utilisateur avec un accès en lecture/écriture à la base de données de conformité et d'audit et la base de données de récupération pour les rapports

Utilisateur ou groupe

Groupe ou utilisateur de domaine avec un accès en lecture/écriture

Groupe ou utilisateur de domaine avec un accès en lecture/écriture à la base de données de conformité et d'audit et la base de données de récupération pour permettre aux applications web d'accéder aux données et rapports dans ces bases de données.

Si vous entrez un nom d'utilisateur dans ce champ, la valeur doit être identique à celle du champ Compte de domaine du pool d'applications de services web dans la page Configurer les applications web.

Si vous entrez un nom de groupe dans ce champ, la valeur du champ Compte de domaine du pool d'applications de services web dans la page Configurer les applications web doit être un membre du groupe que vous entrez dans ce champ.

Groupe ou utilisateur avec un accès en lecture seule à la base de données de conformité et d'audit pour les rapports

Utilisateur ou groupe

Groupe ou utilisateur de domaine avec un accès en lecture seule

Nom de l'utilisateur ou du groupe avec un accès en lecture seule à la base de données de conformité et d'audit pour permettre aux rapports d'accéder aux données de conformité et d'audit dans cette base de données.

Si vous entrez un nom d'utilisateur dans ce champ, il doit s'agir du même utilisateur que celui que vous spécifiez dans le champ Compte de domaine de la base de données de conformité et d'audit sur la page Configurer les rapports.

Si vous entrez un nom de groupe dans ce champ, la valeur que vous spécifiez dans le champ Compte de domaine de la base de données de conformité et d'audit sur la page Configurer les rapports doit être un membre du groupe que vous spécifiez dans ce champ.

Comptes de création de rapports

Créez les comptes suivants pour le composant Rapports.

Nom du compte/objectif	Type de compte	Champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte	Description du champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte
Groupe de domaine avec un accès en lecture seule aux rapports	Groupe	Groupe de domaine avec le rôle d'opérateur de rapports	Nom du groupe de domaine dont les membres ont un accès en lecture seule aux rapports sur le site web d'administration et de surveillance.
Compte d'utilisateur de domaine de la base de données de conformité et d'audit	Utilisateur	Compte de domaine de la base de données de conformité et d'audit	Compte d'utilisateur de domaine et mot de passe utilisés par l'instance de SQL Server Reporting Services locale pour accéder à la base de données de conformité et d'audit. Ce compte nécessite des droits de connexion en tant que traitement par lots sur le serveur SQL Server Reporting Services. Si la valeur entrée dans le champ Groupe ou utilisateur de domaine d'accès en lecture seule de la page Configurer les bases de données est un nom d'utilisateur, vous devez entrer la même valeur dans ce champ. Si la valeur entrée dans le champ Groupe ou utilisateur de domaine d'accès en lecture seule de la page Configurer les bases de données est un nom de groupe, la valeur que vous entrez dans ce champ doit être un membre de ce groupe. Configurez le mot de passe de ce compte de sorte qu'il n'expire jamais. Le compte d'utilisateur doit être en mesure d'accéder à toutes les données disponibles pour le groupe Utilisateurs de rapports de MBAM.

Nom du compte/objectif

Type de compte

Champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte

Description du champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte

Groupe de domaine avec un accès en lecture seule aux rapports

Groupe

Groupe de domaine avec le rôle d'opérateur de rapports

Nom du groupe de domaine dont les membres ont un accès en lecture seule aux rapports sur le site web d'administration et de surveillance.

Compte d'utilisateur de domaine de la base de données de conformité et d'audit

Utilisateur

Compte de domaine de la base de données de conformité et d'audit

Compte d'utilisateur de domaine et mot de passe utilisés par l'instance de SQL Server Reporting Services locale pour accéder à la base de données de conformité et d'audit. Ce compte nécessite des droits de connexion en tant que traitement par lots sur le serveur SQL Server Reporting Services.

Si la valeur entrée dans le champ Groupe ou utilisateur de domaine d'accès en lecture seule de la page Configurer les bases de données est un nom d'utilisateur, vous devez entrer la même valeur dans ce champ.

Si la valeur entrée dans le champ Groupe ou utilisateur de domaine d'accès en lecture seule de la page Configurer les bases de données est un nom de groupe, la valeur que vous entrez dans ce champ doit être un membre de ce groupe.

Configurez le mot de passe de ce compte de sorte qu'il n'expire jamais. Le compte d'utilisateur doit être en mesure d'accéder à toutes les données disponibles pour le groupe Utilisateurs de rapports de MBAM.

Comptes du site web d'administration et de surveillance (support technique)

Créez les comptes suivants pour le site web d'administration et de surveillance.

Nom du compte/objectif	Type de compte	Champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte	Description du champ de l'Assistant Configuration du serveur MBAM qui correspond à ce compte
Compte de domaine du pool d'applications de services web	Utilisateur	Compte de domaine du pool d'applications de services web	Compte d'utilisateur de domaine qui doit être employé par le pool d'applications pour les applications web. Si vous entrez un nom d'utilisateur dans le champ Utilisateur ou groupe d'utilisateurs de domaine avec accès en lecture et en écriture de la page Configurer les bases de données, vous devez entrer la même valeur dans ce champ. Si vous entrez un nom de groupe dans le champ Utilisateur ou groupe d'utilisateurs de domaine avec accès en lecture et en écriture de la page Configurer les bases de données, la valeur que vous entrez dans ce champ doit être celle d'un membre de ce groupe. Si vous ne spécifiez pas d'informations d'identification, les informations d'identification spécifiées par une application web autorisée précédemment sont utilisées. Toutes les applications web doivent utiliser les mêmes informations d'identification du pool d'applications. Si vous spécifiez des informations d'identification distinctes pour les différentes applications web, la dernière valeur spécifiée est utilisée. Important Pour optimiser la sécurité, affectez au compte spécifié dans les informations d'identification des droits de l'utilisateur limités.
Groupe d'accès Utilisateurs avancés du support technique de MBAM	Groupe	Utilisateurs avancés du support technique MBAM	Groupe d'utilisateurs de domaine dont les membres ont accès à toutes les zones de récupération du site web d'administration et de surveillance. Les utilisateurs qui possèdent ce rôle doivent entrer uniquement la clé de récupération, et non le nom d'utilisateur ni le domaine de l'utilisateur final, lorsqu'ils aident ces derniers à récupérer leurs lecteurs. Si un utilisateur est membre à la fois du groupe Utilisateurs du support technique de MBAM et du groupe Utilisateurs avancés du support technique de MBAM, les autorisations du groupe Utilisateurs avancés du support technique de MBAM remplacent les autorisations du groupe Utilisateurs du support technique de MBAM.
Groupe d'accès Utilisateurs du support technique de MBAM	Groupe	Utilisateurs du support technique de MBAM	Groupe d'utilisateurs de domaine dont les membres ont accès aux zones Gérer le module de plateforme sécurisée et Récupération de lecteur du site web d'administration et de surveillance MBAM. Les utilisateurs qui possèdent ce rôle doivent renseigner tous les champs, y compris le nom de compte et le domaine de l'utilisateur final, lorsqu'ils utilisent l'une de ces options. Si un utilisateur est membre à la fois du groupe Utilisateurs du support technique de MBAM et du groupe Utilisateurs avancés du support technique de MBAM, les autorisations du groupe Utilisateurs avancés du support technique de MBAM remplacent les autorisations du groupe Utilisateurs du support technique de MBAM.
Groupe d'accès Utilisateurs de rapport MBAM	Groupe	Utilisateurs de rapport MBAM	Groupe d'utilisateurs de domaine dont les membres ont accès en lecture seule aux rapports de la zone Rapports sur le site web d'administration et de surveillance.
Groupe d'utilisateurs de migration des données MBAM	Groupe	Utilisateurs de migration des données MBAM	Groupe d'utilisateurs de domaine facultatif dont les membres sont autorisés à écrire des données dans MBAM à l'aide du service Récupération et matériel MBAM qui s'exécute sur le server MBAM. Ce compte est généralement utilisé avec les applets de commande Write-Mbam* pour écrire des données de récupération et de module de plateforme sécurisée depuis Active Directory vers la base de données MBAM. Pour plus d'informations, consultez Considérations relatives à la sécurité pour MBAM 2.5.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Autres ressources

Préparation de votre environnement pour MBAM 2.5
Conditions préalables au déploiement de MBAM 2.5