我上周和本周一直在做这件事,但没有取得任何进展。我正在使用 Active Directory 和组策略,需要将 BitLocker 恢复密钥存储在 BitLocker 选项卡中。我已按照在线的所有说明进行操作。到目前为止,我已经……
- 将其链接到我的测试环境
- 已强制开启
- 开启“链接已启用”
- 将其委托给测试环境中的多台计算机
在 GPO 内
启用“在 ADDS 中存储 BitLocker 恢复信息”
为所有版本的 Windows 启用“选择驱动器加密和密码强度”
启用“启动时需要额外的身份验证”
启用“在操作系统驱动器上强制执行驱动器加密类型”
启用“选择如何恢复受 Bitlocker 保护的操作系统驱动器”并将其设置为...
a. “不允许使用 48 位恢复密码”
b.“允许 256 位恢复密钥”
c. 勾选“将 bitlokcer 恢复信息保存到操作系统驱动器的 AD DS”
d. 存储恢复密码和密钥包
此外,我不确定这是否是失败的原因,我正在尝试第二次。几个月前,我为一些计算机在 AD DS 中保存了 bitlocker 恢复密钥,并且成功了。因此,我的“计算机”目录中的某些计算机有 bitlocker 密钥,而另一些则没有。
最后,我刚刚将它链接到测试环境之外的域中,看看是否会有所不同。但是所有需要恢复密钥的计算机都存储在 Active Directory 的默认“计算机”目录中,该目录不允许链接 GPO,因此我将 GPO 链接到包含所有计算机的安全组,而不是 OU。
我可以回答我遗漏的任何问题,如果这样更容易让人想象,我也可以分享图片。谢谢!!
答案1
计算机帐户需要位于 GPO 的管理范围内。如果计算机帐户位于一个 OU 中,而 GPO 链接到另一个 OU,则无论您的安全过滤如何,GPO 都不会应用于计算机。在这种情况下,您需要将 GPO 链接到计算机帐户所在的 OU,
如果计算机位于默认的计算机容器中,并且 GPO 链接到 OU,则无论您的安全过滤如何,GPO 都不会应用于计算机。在这种情况下,您需要将 GPO 链接到 AD 域的根目录。
答案2
您希望在 AD 中看到的不是恢复密钥,而是恢复密码。由于您在引用的 GPO 设置中禁用了这些,因此很明显为什么它们没有出现。