Pianificazione di gruppi e account di MBAM 2.5
Questo argomento elenca i ruoli e gli account che è necessario creare in Active Directory Domain Services (AD DS) per fornire diritti di sicurezza e accesso per i database, i report e le applicazioni Web di Amministrazione e monitoraggio di Microsoft BitLocker (MBAM). Per ogni ruolo e account, viene fornito il campo corrispondente nella Configurazione guidata server di MBAM. Per un elenco dei cmdlet e dei parametri Windows PowerShell corrispondenti a questi account, vedere Configurazione delle funzionalità del server MBAM 2.5 tramite Windows PowerShell.
Nota
MBAM non supporta l'uso di account del servizio gestito.
Account di database
Creare gli account seguenti per il database di conformità e di controllo e il database di ripristino.
| Nome e scopo dell'account | Tipo di account | Campo configurazione guidata server MBAM corrispondente a questo account | Descrizione del campo configurazione guidata server MBAM corrispondente a questo account |
|---|---|---|---|
Utente o gruppo di lettura/scrittura del database di conformità e di controllo e del database di ripristino per i report |
Utente o gruppo |
Utente o gruppo di dominio di accesso in lettura/scrittura |
Utente o gruppo di dominio con accesso in lettura/scrittura al database di conformità e controllo e al database di ripristino per consentire alle applicazioni Web di accedere ai dati e ai report in questi database. Se si immette un nome utente in questo campo, deve corrispondere al valore nel campo account di dominio del pool di applicazioni del servizio Web nella pagina Configura applicazioni Web . Se si immette un nome di gruppo in questo campo, il valore nel campo account di dominio del pool di applicazioni del servizio Web nella pagina Configura applicazioni Web deve essere un membro del gruppo immesso in questo campo. |
Utente o gruppo di sola lettura del database di conformità e controllo per i report |
Utente o gruppo |
Utente o gruppo di dominio di accesso di sola lettura |
Nome dell'utente o del gruppo che avrà accesso in sola lettura al database di conformità e controllo per consentire ai report di accedere ai dati di conformità e controllo in questo database. Se si immette un nome utente in questo campo, deve corrispondere a quello specificato nel campo Account di dominio database di conformità e controllo nella pagina Configura report . Se si immette un nome di gruppo in questo campo, il valore specificato nel campo Account di dominio database di conformità e controllo nella pagina Configura report deve essere un membro del gruppo specificato in questo campo. |
Account per la creazione di report
Creare gli account seguenti per la funzionalità Report.
| Nome/scopo dell'account | Tipo di account | Campo configurazione guidata server MBAM corrispondente a questo account | Descrizione del campo configurazione guidata server MBAM corrispondente a questo account |
|---|---|---|---|
Report gruppo di accesso al dominio di sola lettura |
Gruppo |
Gruppo di dominio del ruolo di creazione di report |
Specifica il gruppo di utenti di dominio che ha accesso in sola lettura ai report nel sito Web di amministrazione e monitoraggio. Il gruppo specificato deve essere lo stesso gruppo specificato per il parametro Gruppo di accesso di sola lettura report quando le app Web sono abilitate. |
Account utente del dominio del database di conformità e controllo |
Utente |
Account di dominio del database di conformità e controllo |
Account utente di dominio e password usati dall'istanza di SQL Server Reporting Services locale per accedere al database di conformità e controllo. Questo account richiede diritti di accesso come Batch per il server SQL Server Reporting Services. Se il valore immesso nel campo Utente o gruppo di dominio di accesso di sola lettura nella pagina Configura database è un nome utente, è necessario immettere lo stesso valore in questo campo. Se il valore immesso nel campo Utente o gruppo di dominio di accesso di sola lettura nella pagina Configura database è un nome di gruppo, il valore immesso in questo campo deve essere un membro di tale gruppo. Configurare la password per l'account in modo che non scada mai. L'account utente deve essere in grado di accedere a tutti i dati disponibili per il gruppo MBAM Reports Users.The user account should be able to access all data that is available to the MBAM Reports Users group. |
Account del sito Web di amministrazione e monitoraggio (help desk)
Creare gli account seguenti per il sito Web amministrazione e monitoraggio.
| Nome/scopo dell'account | Tipo di account | Campo configurazione guidata server MBAM corrispondente a questo account | Descrizione del campo configurazione guidata server MBAM corrispondente a questo account |
|---|---|---|---|
Account di dominio del pool di applicazioni del servizio Web |
Utente |
Account di dominio del pool di applicazioni del servizio Web |
Account utente di dominio da usare dal pool di applicazioni per le applicazioni Web. Se si immette un nome utente nel campo Utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , è necessario immettere lo stesso valore in questo campo. Se si immette un nome di gruppo nel campo Utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , il valore immesso in questo campo deve essere un membro di tale gruppo. Se non si specificano le credenziali, verranno usate le credenziali specificate per qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web devono usare le stesse credenziali del pool di applicazioni. Se si specificano credenziali diverse per applicazioni Web diverse, verrà usato il valore specificato più di recente.
Importante
Per una maggiore sicurezza, impostare l'account specificato nelle credenziali in modo che disponga di diritti utente limitati. |
Gruppo di accesso mbam Advanced Helpdesk Users |
Gruppo |
Utenti dell'helpdesk avanzato di MBAM |
Gruppo di utenti di dominio i cui membri hanno accesso a tutte le aree di ripristino del sito Web di amministrazione e monitoraggio. Gli utenti con questo ruolo devono immettere solo la chiave di ripristino e non il nome utente e il dominio dell'utente finale quando aiutano gli utenti finali a ripristinare le unità. Se un utente è membro sia del gruppo MBAM Helpdesk Users che del gruppo MBAM Advanced Helpdesk Users, le autorizzazioni del gruppo MBAM Advanced Helpdesk Users sostituiscono le autorizzazioni del gruppo helpdesk MBAM. |
Gruppo di accesso utenti helpdesk MBAM |
Gruppo |
Utenti dell'helpdesk di MBAM |
Gruppo di utenti di dominio i cui membri hanno accesso alle aree Gestisci TPM e Ripristino unità del sito Web di amministrazione e monitoraggio di MBAM. Gli utenti che hanno questo ruolo devono compilare tutti i campi, inclusi il nome di dominio e account dell'utente finale, quando usano entrambe le opzioni. Se un utente è membro sia del gruppo MBAM Helpdesk Users che del gruppo MBAM Advanced Helpdesk Users, le autorizzazioni del gruppo MBAM Advanced Helpdesk Users sostituiscono le autorizzazioni del gruppo helpdesk MBAM. |
Gruppo di accesso utenti report MBAM |
Gruppo |
Utenti del report di MBAM |
Gruppo di utenti di dominio i cui membri hanno accesso in sola lettura ai report nell'area Report del sito Web Amministrazione e monitoraggio. |
Gruppo di utenti della migrazione dei dati di MBAM |
Gruppo |
Utenti della migrazione dei dati di MBAM |
Gruppo di utenti di dominio facoltativo i cui membri hanno le autorizzazioni per scrivere dati in MBAM usando il servizio di ripristino e hardware di MBAM in esecuzione nel server MBAM. Questo account viene in genere usato con i cmdlet Write-Mbam* per scrivere i dati di ripristino e TPM da Active Directory nel database MBAM. Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5. |
Argomenti correlati
Preparazione dell'ambiente per MBAM 2.5
Prerequisiti per la distribuzione di MBAM 2.5
Hai un suggerimento per MBAM?
Per i problemi di MBAM, usare il forum technet di MBAM.