MBAM 2.5 群組與帳戶規劃

發行項
03/13/2023

本主題列出您必須在 Active Directory 網域服務 (AD DS) 中建立的角色和帳戶，以提供 Microsoft BitLocker Administration and Monitoring (MBAM) 資料庫、報表和 Web 應用程式的安全性和存取權限。針對每個角色和帳戶，會提供 MBAM 伺服器組態精靈中的對應欄位。如需對應至這些帳戶的Windows PowerShell Cmdlet 和參數清單，請參閱使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能。

注意
MBAM 不支援使用受控服務帳戶。

資料庫帳戶

為合規性與稽核資料庫和復原資料庫建立下列帳戶。

帳戶名稱和用途	帳戶類型	對應到此帳戶的 MBAM 伺服器設定精靈欄位	對應至此帳戶的 [MBAM 伺服器設定精靈] 欄位描述
報表的合規性與稽核資料庫和復原資料庫讀取/寫入使用者或群組	使用者或群組	讀取/寫入存取網域使用者或群組	具有合規性與稽核資料庫和復原資料庫讀取/寫入存取權的網域使用者或群組，可讓 Web 應用程式存取這些資料庫中的資料和報表。如果您在此欄位中輸入使用者名稱，其值必須與 [設定Web 應用程式] 頁面上 [Web 服務應用程式集區網域帳戶] 欄位中的值相同。如果您在此欄位中輸入組名，則 [設定Web 應用程式] 頁面上的 [Web 服務應用程式集區網域帳戶]欄位中的值必須是您在此欄位中輸入之群組的成員。
報表的合規性和稽核資料庫唯讀使用者或群組	使用者或群組	唯讀存取網域使用者或群組	將具有合規性和稽核資料庫唯讀存取權的使用者或群組名稱，可讓報表存取此資料庫中的合規性和稽核資料。如果您在此欄位中輸入使用者名稱，它必須與您在 [設定報告] 頁面的 [ 合規性和稽核資料庫網域帳戶] 字段中指定的使用者相同。如果您在此欄位中輸入組名，您在 [設定報告] 頁面的 [合規性與稽核資料庫網域帳戶] 字段中指定的值必須是您在此欄位中指定之群組的成員。

報表的合規性與稽核資料庫和復原資料庫讀取/寫入使用者或群組

使用者或群組

讀取/寫入存取網域使用者或群組

具有合規性與稽核資料庫和復原資料庫讀取/寫入存取權的網域使用者或群組，可讓 Web 應用程式存取這些資料庫中的資料和報表。

如果您在此欄位中輸入使用者名稱，其值必須與 [設定Web 應用程式] 頁面上 [Web 服務應用程式集區網域帳戶] 欄位中的值相同。

如果您在此欄位中輸入組名，則 [設定Web 應用程式] 頁面上的 [Web 服務應用程式集區網域帳戶]欄位中的值必須是您在此欄位中輸入之群組的成員。

報表的合規性和稽核資料庫唯讀使用者或群組

使用者或群組

唯讀存取網域使用者或群組

將具有合規性和稽核資料庫唯讀存取權的使用者或群組名稱，可讓報表存取此資料庫中的合規性和稽核資料。

如果您在此欄位中輸入使用者名稱，它必須與您在 [設定報告] 頁面的 [ 合規性和稽核資料庫網域帳戶] 字 段中指定的使用者相同。

如果您在此欄位中輸入組名，您在 [設定報告] 頁面的 [合規性與稽核資料庫網域帳戶] 字段中指定的值必須是您在此欄位中指定之群組的成員。

報告帳戶

為 [報表] 功能建立下列帳戶。

帳戶名稱/用途	帳戶類型	對應到此帳戶的 MBAM 伺服器設定精靈欄位	對應至此帳戶的 [MBAM 伺服器設定精靈] 欄位描述
報告唯讀網域存取群組	群組	報告角色網域群組	指定具有 Administration and Monitoring Website 中報告唯讀存取權的網域使用者群組。當 Web 應用程式啟用時，您指定的群組必須與您為報表唯讀存取群組參數指定的群組相同。
合規性和稽核資料庫網域使用者帳戶	使用者	合規性和稽核資料庫網域帳戶	本機SQL Server Reporting Services實例用來存取合規性與稽核資料庫的網域使用者帳戶和密碼。此帳戶需要登入作為SQL Server Reporting Services伺服器的 Batch 許可權。如果您在 [設定資料庫] 頁面的 [唯讀存取網域使用者或群組 ] 欄位中輸入的值是使用者名稱，您必須在此欄位中輸入相同的值。如果您在 [設定資料庫] 頁面的 [唯讀存取網域使用者或群組 ] 欄位中輸入的值是組名，您在此欄位中輸入的值必須是該群組的成員。將此帳戶的密碼設定為永不過期。使用者帳戶應該能夠存取 MBAM 報表使用者群組可用的所有資料。

報告唯讀網域存取群組

群組

報告角色網域群組

指定具有 Administration and Monitoring Website 中報告唯讀存取權的網域使用者群組。當 Web 應用程式啟用時，您指定的群組必須與您為報表唯讀存取群組參數指定的群組相同。

合規性和稽核資料庫網域使用者帳戶

使用者

合規性和稽核資料庫網域帳戶

本機SQL Server Reporting Services實例用來存取合規性與稽核資料庫的網域使用者帳戶和密碼。此帳戶需要登入作為SQL Server Reporting Services伺服器的 Batch 許可權。

如果您在 [設定資料庫] 頁面的 [唯讀存取網域使用者或群組 ] 欄位中輸入的值是使用者名稱，您必須在此欄位中輸入相同的值。

如果您在 [設定資料庫] 頁面的 [唯讀存取網域使用者或群組 ] 欄位中輸入的值是組名，您在此欄位中輸入的值必須是該群組的成員。

將此帳戶的密碼設定為永不過期。使用者帳戶應該能夠存取 MBAM 報表使用者群組可用的所有資料。

管理與監視網站 (技術支援中心) 帳戶

為 Administration and Monitoring Website 建立下列帳戶。

帳戶名稱/用途	帳戶類型	對應到此帳戶的 MBAM 伺服器設定精靈欄位	對應至此帳戶的 [MBAM 伺服器設定精靈] 欄位描述
Web 服務應用程式集區網域帳戶	使用者	Web 服務應用程式集區網域帳戶	Web 應用程式的應用程式集區所要使用的網域使用者帳戶。如果您在 [設定資料庫] 頁面的[讀取/寫入存取網域使用者或群組] 欄位中輸入使用者名稱，則必須在此欄位中輸入相同的值。如果您在 [設定資料庫] 頁面上的 [ 讀取/寫入存取網域使用者或群組 ] 欄位中輸入組名，您在此欄位中輸入的值必須是該群組的成員。如果您未指定認證，將會使用針對任何先前啟用的 Web 應用程式所指定的認證。所有 Web 應用程式都必須使用相同的應用程式集區認證。如果您為不同的 Web 應用程式指定不同的認證，則會使用最近指定的值。重要為了改善安全性，請將認證中指定的帳號設定為具有有限的使用者權限。
MBAM 進階技術服務人員使用者存取群組	群組	MBAM 進階技術服務人員使用者	網域使用者群組，其成員可存取 Administration and Monitoring Website 的所有復原區域。具有此角色的使用者在協助使用者復原磁片磁碟機時，必須只輸入修復金鑰，而非使用者的網域和使用者名稱。如果使用者同時是 MBAM Helpdesk Users 群組和 MBAM 進階技術服務人員使用者群組的成員，則 MBAM 進階技術服務台使用者群組許可權會覆寫 MBAM 技術服務人員群組許可權。
MBAM 技術服務人員使用者存取群組	群組	MBAM 技術服務人員使用者	網域使用者群組，其成員可存取 MBAM Administration and Monitoring Website 的管理 TPM 和磁片磁碟機復原區域。具有此角色的個人在使用任一選項時，必須填入所有欄位，包括使用者的網域和帳戶名稱。如果使用者同時是 MBAM Helpdesk Users 群組和 MBAM 進階技術服務人員使用者群組的成員，則 MBAM 進階技術服務台使用者群組許可權會覆寫 MBAM 技術服務人員群組許可權。
MBAM 報表使用者存取群組	群組	MBAM 報表使用者	網域使用者群組，其成員在 Administration and Monitoring Website 的 [報表] 區域中具有報表的唯讀存取權。
MBAM 資料移轉使用者群組	群組	MBAM 資料移轉使用者	選擇性網域使用者群組，其成員有權使用在 MBAM 伺服器上執行的 MBAM 復原和硬體服務，將資料寫入 MBAM。此帳戶通常會與 Write-Mbam* Cmdlet 搭配使用，以將復原和 TPM 資料從 Active Directory 寫入 MBAM 資料庫。如需詳細資訊，請參閱 MBAM 2.5 安全性考慮。

MBAM 2.5 的環境準備

MBAM 2.5 部署必要條件

有 MBAM 的建議嗎？

針對 MBAM 問題，請使用 MBAM TechNet 論壇。

Share via

MBAM 2.5 群組與帳戶規劃

資料庫帳戶

報告帳戶

管理與監視網站 (技術支援中心) 帳戶

有 MBAM 的建議嗎？

其他資源

Share via

MBAM 2.5 群組與帳戶規劃

資料庫帳戶

報告帳戶

管理與監視網站 (技術支援中心) 帳戶

相關主題

有 MBAM 的建議嗎？

其他資源