我的组织正在 Server 2008 R2 架构上运行 AD DS。我知道这已经是一个糟糕的开始,但让我们假装这是不可能改变的。在我们的默认域策略中,我们有以下设置已启用要求 TPM 所有者授权值哈希的 AD 备份:
Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services
因此,当我尝试使用 BitLocker 加密与 AD 绑定的 Windows 8 Enterprise 计算机时,它会失败,因为 Windows 8 尝试将 TPM 授权哈希存储为子对象(带类型ms-TPM-所有权信息),而 Server 2008 R2 架构要求将此信息存储为属性(具体来说,msTPM 所有者信息)的计算机对象。这很好,而且很棒 - 事实上,它显然TechNet 文章中记录了此行为是故意的,解决方案是更新到 Server 2012 架构。太棒了。
让我担心的是,当我尝试加密与 AD 绑定的 Windows 8.1 Enterprise 计算机时,在相同情况下加密成功。然而,尽管策略设置要求 TPM 备份,但它根本没有发生 - 它既不存储在计算机属性中,也没有作为计算机的子对象创建。
我找不到任何文档表明 Windows 8.1 在这方面的行为与 Windows 8 不同。Server 2008 R2 的主流支持结束日期直到 2014 年 1 月 13 日,我认为微软不会有意实施我所描述的内容。那么这可能是一种非预期行为吗?如果是这样,如何才能最好地解决与微软的问题?
答案1
您正在加密 Windows 8,因此使用 2008r2 架构做需要扩展以支持 TPM 的 2012 扩展。
Greg 发布的信息适用于 Windows 7 和 Server 2008r2,才不是需要更新架构。
答案2
您混淆了两种不同的设置。
为了防止 BitLocker 加密,除非信息在 Active Directory 中备份,否则您需要启用以下组策略设置:
计算机 > 策略 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器
“在将恢复信息存储到操作系统驱动器的 AD DS 之前,请勿启用 BitLocker”
要启用 TPM 恢复,您无需更新架构。您需要为 Self 标识启用对 ms-TPM-OwnershipInformation 属性的写访问权限。Microsoft 为此提供了 Add-TPMSelfWriteACE.vbs 脚本。
将 BitLocker 和 TPM 恢复信息备份到 AD DS
http://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
您也可以事后将信息备份到 Active Directory。这对于重新加入域的计算机有时很有用:
manage-bde -protectors -get c:
(获取数字密码ID)
manage-bde -protectors -adbackup c: -id {<guid>}