大约一个月前我在这里问了同样的问题 -> BitLocker 恢复密钥未显示在 Active Directory 中
但现在情况已经发生了变化,而我得到的仍然是同样的结果。我将在这篇文章中尽可能详细地介绍,这样我就不必再发表任何帖子了(希望如此)。
好的,因此我们需要将这些密钥存储在 AD 上以满足国防部的要求,我编写了一点 Java 来找出我们有多少密钥。运行 Java 后,我们发现 230 台计算机中有 97 台在 AD 中存储了密钥。
我为 bitlocker 创建了一个组策略并将其命名为“GP - Bitlocker”
我更改的第一个设置位于此目录中:计算机配置->策略->管理模板->Windows 组件->Bitlocker 驱动器加密
“将 BitLocker 恢复信息存储在 Active Directory 域服务中”
“选择驱动器加密方法和密码强度 (Windows 8 / Server 2012)”
“选择驱动器加密方法和密码强度 (Windows Server 2008、Windows 7)”
此外,我还更改了../操作系统驱动器中的设置(..是上一个目录)
“选择如何恢复受 BitLocker 保护的操作系统驱动器”
至于组策略链接的位置,它与我域中所有其他组策略一起存储在名为“组策略对象”的目录中。它链接到我们希望启用 GP 的所有 OU,但我们将其删除,因为它不起作用,我们只想在有限的计算机上运行测试。
目前,“GP - Bitlocker”与 2 个 OU 相关联,“Test_Environment”和“Not Known”。Not Known 是我们域中一个未指定部门的真实计算机的 OU,而 test_environment 只是我们用来测试 GP 的临时计算机。
“未知”有 4/16 台计算机具有存储的密钥,而 test_enivronment 有 1/4 台计算机具有存储的密钥。
现在我们的想法是,由于我们的许多员工不经常连接到 VPN 甚至不登录他们的计算机,因此他们无法获得 GP 更新。我们是一家建筑公司,因此,我们有许多人一次在现场工作数月,不使用他们的计算机。但是,我认为 97 应该在 180 左右左右,才能准确地表示那些在现场有计算机的人。如果我遗漏了任何信息,请告诉我,我很乐意填补空白。
答案1
尼克,当你问第一个问题时,你的恢复密码设置(Bitlocker 恢复选项卡上的 AD 计算机对象中出现的 48 位密钥)是:“不允许使用 48 位恢复密码”
现在您将其更改为需要恢复密码。但是,由于这些系统已经加密,这些密码永远不会进入 AD(因为它们仅在加密时保存,而不是之后保存),除非您手动设置它们。这应该使用您部署为即时计划任务的脚本来完成,例如 c: 驱动器的批处理代码:
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b