我们目前在工作时在笔记本电脑上使用 Bitlocker。帮助台负责在构建系统时将 Bitlocker 密钥备份到 AD。我们最近遇到了一个问题,用户遇到硬件问题导致 Bitlocker 关闭,因此它不会跳过提示输入恢复密钥的屏幕。
没问题,我们以前也遇到过这种情况,只是当我在 AD 中查看时没有找到密钥,这意味着有人忘记备份了。所以我随机点击了一些其他笔记本电脑对象,发现另一个没有备份。所以这让我想到我们需要认真调查这个问题,以免它再次发生(发生在更高级别的员工身上)。
除了浏览整个笔记本电脑 OU 并单击 Bitlocker 恢复选项卡外,是否有办法在 PowerShell 中检查该选项卡并查看其中是否有任何内容?我甚至不需要知道那里的密钥,只需知道那里是否有任何数据即可表明它已备份。如果没有,那也不是世界末日,但我更愿意使用脚本而不是手动执行此操作。:)
我一直在网上寻找,但到目前为止还没有找到我想要的东西,通常它比我需要的要复杂得多。
谢谢你提供的所有帮助!
答案1
作为玛拉指出,你做错了™。
启用 GPO 设置以备份BitLocker 密钥到 AD自动。BitLocker 会先备份密钥,因此不可能出现你现在的情况。还有许多其他BitLocker GPO 设置也。
你还需要适用于 Active Directory 用户和计算机的 BitLocker 恢复密码查看器它允许您在 AD 中查看 BitLocker 密钥。
不要说教:在尝试可能永久锁定人们计算机的新技术之前,您应该真正阅读所有文档和最佳实践。MS 已发布大量有关 BitLocker 的资料,以帮助人们避免此类错误。
答案2
我使用以下 Powershell cmdlet 来获取具有备份 bitlocker 密钥的计算机列表。
Get-ADObject -filter {objectclass -eq "msFVE-RecoveryInformation"} |select -expandproperty distinguishedname
我无法说您至少必须拥有什么权限,但域管理员就足够了(可能有点过头了)
然后你可以解析输出