无法在AD中存储TPM信息

我正在尝试使用GP在AD中存储TPM信息 。 我已经validation模式包含适当的对象属性，并validation该属性和ACE是存在于给定的计算机对象上。

我注意到，使用最新的ADMX时，似乎Require TPM back to AD DS中缺lessRequire TPM back to AD DS Turn on TPM backup to Active Directory Domain Services ，replace为以下语句：

 If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password. 

我使用dsa.msc's Attribute Editor adsiedit.msc和脚本Get-TPMOwnerInfo.vbs检查数据的存在，重置TPM密码后，没有运气。

为什么我不能在AD中存储TPM信息？

• “允许DNS后缀添加到不合格的多标签名称查询”设置有什么安全隐患？
• Microsoft会在不受支持的操作系统上禁用组策略吗？
• 用于Windows 8.1和Windows Server 2008 R2的BitLocker组策略
• 组策略阻止exe文件
• 查看应用于特定安全组的GPO

[更新回复：评论]

 Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing? 

如文档中所述 ，在将GP（ Turn on TPM backup to Active Directory Domain Services ）应用于客户端计算机之后：

 TPM recovery information is backed up when you: - Set the TPM owner password during TPM initialization. - Change the TPM owner password. 

在这一点上，我不知道在哪里可以看到有关的错误…除了我没有看到存储在计算机对象的msTPM-OwnerInformation属性中的更新的TPM信息。 要清楚的是，问题是TPM信息没有存储在AD中，我想将其存储在AD中。

 What operating system(s) are running on the machine(s) with the TPM(s)? 

我正在运行Windows 8.1，但将同时针对Windows 8.1和Windows 7。

[附加信息]

请注意，在“组策略设置参考”中 ，以下registry项反映了GP应用程序：

 HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1 HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1 

我执行了以下操作：

1. 在AD中的计算机对象上设置Write msTPM-OwnerInformation权限validation是否存在一个用于SELF的ACE。
2. 这些registry值在客户端上按预期设置
3. 然后，我使用tpm.msc来重置密码
4. 没有为msTPM-OwnerInformation设置值

 ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j . ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .