Bitlocker AD 密钥保护器问题

Bitlocker AD 密钥保护器问题

我们使用 Bitlocker Active Directory Key Protector 来保护和自动解锁 USB 驱动器,但发现解锁随机失败。

我们有两个使用的 AD 组

  • DOMAIN\BitlockerAdmin(包含系统管理员)
  • DOMAIN\BitlockerPerComputer(包含使用笔记本电脑的用户)

这些用户都是域组“DOMAIN\BitlockerPerComputer”的成员,我们运行以下命令:

Enable-BitLocker -MountPoint F: -EncryptionMethod XtsAes256 -UsedSpaceOnly -AdAccountOrGroup "Domain\BitlockerAdmin" –AdAccountOrGroupProtector 
Add-BitLockerKeyProtector -MountPoint $BACKUPVOL -AdAccountOrGroup "DOMAIN\BitlockerPerComputer" –AdAccountOrGroupProtector

我们期望发生什么(有时才有效)

  • 用户登录,驱动器解锁或系统管理员登录,驱动器解锁。
  • 如果我们从 AD 组中删除该用户,驱动器将始终保持锁定状态,并且用户将无法解锁。

我们看到的。

  • 有时我们会注意到用户登录后,驱动器无法解锁。我们可以等待几天并多次重启,但行为没有任何变化。
  • BitlockerAdmin 组中的任何人登录后都可以正常解锁
  • 如果我们将用户添加到 BitlockerAdmin 组,则注销并打开驱动器有时会解锁,即它工作得更好,但有时却不会。
  • 即使将用户从 AD 组中删除,他们仍然能够解锁驱动器

我们也尝试过使用 Manage-bde 命令而不是 powershell,但得到的结果相同

改变我首先添加的组的顺序也没有区别。

我们试图研究 AD 保护器的具体工作方式以诊断问题,但目前得到的信息很少。

任何有助于诊断问题的指示都将不胜感激

相关内容