我们使用 Bitlocker Active Directory Key Protector 来保护和自动解锁 USB 驱动器,但发现解锁随机失败。
我们有两个使用的 AD 组
- DOMAIN\BitlockerAdmin(包含系统管理员)
- DOMAIN\BitlockerPerComputer(包含使用笔记本电脑的用户)
这些用户都是域组“DOMAIN\BitlockerPerComputer”的成员,我们运行以下命令:
Enable-BitLocker -MountPoint F: -EncryptionMethod XtsAes256 -UsedSpaceOnly -AdAccountOrGroup "Domain\BitlockerAdmin" –AdAccountOrGroupProtector
Add-BitLockerKeyProtector -MountPoint $BACKUPVOL -AdAccountOrGroup "DOMAIN\BitlockerPerComputer" –AdAccountOrGroupProtector
我们期望发生什么(有时才有效)
- 用户登录,驱动器解锁或系统管理员登录,驱动器解锁。
- 如果我们从 AD 组中删除该用户,驱动器将始终保持锁定状态,并且用户将无法解锁。
我们看到的。
- 有时我们会注意到用户登录后,驱动器无法解锁。我们可以等待几天并多次重启,但行为没有任何变化。
- BitlockerAdmin 组中的任何人登录后都可以正常解锁
- 如果我们将用户添加到 BitlockerAdmin 组,则注销并打开驱动器有时会解锁,即它工作得更好,但有时却不会。
- 即使将用户从 AD 组中删除,他们仍然能够解锁驱动器
我们也尝试过使用 Manage-bde 命令而不是 powershell,但得到的结果相同
改变我首先添加的组的顺序也没有区别。
我们试图研究 AD 保护器的具体工作方式以诊断问题,但目前得到的信息很少。
任何有助于诊断问题的指示都将不胜感激