我正在尝试编写一个脚本,允许在没有兼容 TPM 的情况下使用 BitLocker。该设置位于Configuration \ Administrative Templates \ Windows Components \ Bit Locker Drive Encryption \ Operating System Drives and Require additional authentication at startupgpedit 下。
它只需启用即可。我使用进程监视器来观察手动启用时更改了哪些注册表设置,在我的系统中,HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{5C0CD1B3-C6CC-448-AFA7-B69059CFF648}Machine\SOFTWARE\Policies\Microsoft\FVE EnableBDEWithNoTPM数据更改为1。
起初我认为我只需要以某种方式补偿大括号中的唯一 ID,但在查看另一台 Windows 8.1 Pro 机器后发现“组策略对象”甚至不在注册表中。
所以我没有主意了。有人知道如何使用脚本来实现这一点吗?
答案1
无法从命令行自动执行组策略。这就是域控制器的用途。您唯一能做的就是编写 GPO 会影响的注册表更改脚本。您从进程监视器中观察到的位置只是 GPO 本身的副本,而不是它的应用。您需要更改的注册表中的实际位置位于字符串的最后一部分。
要使用脚本启用此功能,只需使用 REG 命令:
REG ADD HKLM\SOFTWARE\Policies\Microsoft\FVE /v EnableBDEWithNoTPM /t REG_DWORD /d 1
这将实现您所寻找的价值。
答案2
正如我所指出的https://superuser.com/a/1140638/459921,您可以使用以下命令行实用程序在未加入域的计算机上修改本地组策略: