Ceci est le troisième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

Ce billet sera consacré aux différents profils d’administrateurs utilisables dans MBAM.

Les premières parties de cette série sont visibles aux adresses suivantes :

Vérification des groupes locaux MBAM

Sur la machine MBAM, ouvrir le gestionnaire d'utilisateurs et vérifier la présence de groupes locaux créés par l'assistant MBAM

Création de groupes globaux dans l’Active Directory

Dans Active Directory, créer des groupes globaux correspondants à ceux locaux de MBAM (en terme de libellé)

Mettre dans les groupes globaux AD les utilisateurs en fonction de leur profil d'administration.

Ajout des groupes globaux AD dans les groupes locaux du serveur MBAM

Mettre les groupes AD créés précédemment dans les groupes locaux associés [cf. le bon vieux AGLP (http://technet.microsoft.com/en-us/library/bb742592.aspx)]

    • Les membres du groupe "MBAM System Administrators" ont accès à toutes les fonctionnalités d'administration et de supervision dans la console d'administration MBAM.
    • Les membres du groupe "MBAM Hardware Users" ont accès aux fonctionnalités "Hardware Compatibility" de la console d'administration MBAM.
    • Les membres du groupe "MBAM Helpdesk Users" ont accès à la gestion des TPM et les options de récupération des lecteurs et doivent saisir l'intégralité des champs
      Les membres du groupe "MBAM Report Users" ont accès aux rapports d'audit et de conformité de la console d'administration MBAM.
    • Les membres du groupe "MBAM Advanced Helpdesk Users" ont un accès avancé à la gestion des TPM et les options de récupération des lecteurs et ne sont pas obligés de saisir l'intégralité des champs lors de la récupération (seuls les champs Domain Computer et Computer Name sont nécessaires)

Informations complémentaires :

Prochains articles :

- Stanislas Quastana -