如何启用BitLocker而不提示最终用户

我在组策略中configuration了BitLocker和TPM设置，以便设置所有选项，并将恢复密钥存储在Active Directory中。我们所有的机器都运行带有标准企业镜像的Windows 7，并且在BIOS中启用并激活了TPM芯片。

我的目标是让所有的用户必须做的是点击启用BitLocker，然后离开它。微软甚至提供可以通过脚本部署的自动化样本。但是，让这个过程顺利进行是一个小小的呃。

在GUI中，当用户启用BitLocker时，必须使用自动生成的所有者密码初始化TPM。但是，恢复密码显示给用户，并提示他们将其保存到文本文件。我似乎无法压制这个对话框，这个步骤不能被跳过。当密钥成功备份到AD时，这是一个不需要的（不必要的）提示。

如果我编写部署脚本，则必须在初始化TPM时在脚本中提供所有者密码，并且希望它以GUI的方式随机生成。

有没有办法使BitLocker部署真正地按照我所需的方式进行零接触？

你可以通过组策略来做到这一点。如果您已经将恢复密钥/软件包configuration为备份到AD，则只需在将备份configuration到AD的同一屏幕上，选中“忽略BitLocker安装向导中的恢复选项”checkbox。此设置是每个驱动器types – 操作系统，固定和可移动。如果您要encryption的不仅仅是操作系统驱动器，则需要在“计算机configuration”>“pipe理模板”>“Windows组件”>“BitLocker驱动器encryption”的每个节点中设置策略。请记住，此checkbox仅从向导中删除该页面。如果您还想阻止用户在后encryption时导出恢复密钥，则还必须禁用这两种恢复选项。

另外，请注意这些策略支持的平台。这里有两套策略设置，一个用于Vista / Server2008，一个用于7 / Server2012及更新版本。如果仍然使用Vista，则需要使用“select用户如何恢复受BitLocker保护的驱动器”策略并将这两种方法都设置为“不允许”，然后将“将BitLocker恢复信息存储在Active Directory域服务”策略中设置为“启用” 。

在这里输入图像描述

您是否尝试过查看Microsoft BitLockerpipe理和监控？这是一个安静的服务，您在计算机上远程运行。从这个来源采取：

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

它包含了你所希望的必要的事情，例如，在最终用户方面的非接触部署，并在理想情况下在一个控制台。

希望这可以帮助！

PS TPM需要处于活动状态才能使MBAM正常工作。