我有一台设备,需要将其 Bitlocker 恢复备份到 AD,以便在 Active Directory 中对象的“Bitlocker 恢复”选项卡中可见。
我发现该设备只有一个TPM保护器。所以我添加了一个数字密码。我想将这个数字密码备份到AD。
我运行manage-bde protectors c: -adbackup -ID '{my-id-goes-here}'。Windows 回复道:
Recovery information was successfully backed up to Active Directory.
我拉起 ADUC,找到该设备,查看它的“Bitlocker 恢复”选项卡,却发现这里什么都没有。
我也尝试过:
$BLV = Get-BitLockerVolume -MountPoint "C:" Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId
获取 0 退出代码,但没有发布任何内容到 AD。我是不是漏掉了什么?
我看到的可以通过这种方式推送到 AD 的机器与该设备之间唯一的区别是‘转换状态’字段:
可以正常工作的机器是“完全加密”的,而不是“仅使用空间”。
我如何才能将此密码备份到 AD?
答案1
“数字密码”不是备份到 AD 的内容。您需要添加“恢复密钥”,如下所示:
Add-BitLockerKeyProtector -MountPoint C: -RecoveryPasswordProtector
答案2
事实证明这是一个复制问题,而不是 Bitlocker 问题。
AD 中某些设备的 Bitlocker 恢复密钥选项卡已立即更新。其他设备则没有。
似乎有些设备需要更长的时间才能显示密钥。我刚刚用一台设备进行了测试,它花了大约 20 分钟才反映出 AD 中的变化。
是的,有点虎头蛇尾。感谢所有对此问题发表意见的人。