我们有多台 Windows 10 笔记本电脑(大多数运行的是 Windows 10 Enterprise内部版本 1803在我们的总部和多个共置地点。我们正在全公司范围内实施 BitLocker,并且我们有一个 GPO 可以启用并(应该)将 BitLocker 密钥保存到 Active Directory。但是,对于某些机器,它没有保存密钥。我思考这只发生在已经使用 BitLocker 的机器上,因为我在新机器上进行的每次测试中,GPO 启用了 BL,它也会保存密钥(我还没有看到它失败过一次)。
对于使用 BitLocker 但未将其密钥保存在 AD 中的现有计算机,我一直在 PSRemoting 会话中或通过 Invoke-Command {block} 运行这个简单的 PowerShell 命令/脚本
$keyID = Get-BitLockerVolume -MountPoint c: | select -ExpandProperty keyprotector |
where {$_.KeyProtectorType -eq 'RecoveryPassword'}
Backup-BitLockerKeyProtector -MountPoint c: -KeyProtectorId $keyID.KeyProtectorId
但是,我尝试在几台机器上运行它并收到此错误:
Backup-BitLockerKeyProtector : The Active Directory Domain Services forest does not contain the required attributes and classes to host BitLocker Drive Encryption or Trusted Platform Module information. Contact your domain administrator to verify that any required BitLocker Active Directory schema extensions have been installed. (Exception from HRESULT: 0x8031000A) At line:1 char:1 + Backup-BitLockerKeyProtector -MountPoint c: -KeyProtectorId $keyID.Ke ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Write-Error], COMException + FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Backup-BitLockerKeyProtector
我是域管理员之一。我了解到这是 Win10 Build 1803 的一个问题这里和这里。然而,两个链接都只是提到启用BitLocker,不一定会将 BL 密钥追溯保存到 ADDS。如能提供任何帮助,不胜感激。