我的组织在Server 2008 R2模式上运行AD DS。 我知道,这已经是一个糟糕的开始,但我们假装这是不可能改变的。 在我们的默认域策略中,我们启用了以下设置,要求对TPM所有者授权值散列值进行AD备份:
Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services 因此,当我尝试使用BitLocker对AD绑定的Windows 8 Enterprise计算机进行encryption时,它会失败,因为Windows 8会尝试将TPM授权哈希存储为计算机对象的子对象 (types为ms-TPM-OwnershipInformation )而Server 2008 R2模式需要将此信息存储为计算机对象的属性 (特别是msTPM-OwnerInformation )。 这是非常好的,实际上, 在TechNet文章中清楚地logging了这种行为是有意的,解决scheme是更新到Server 2012架构。 凉。
关注我的一点是,当我试图encryption一个AD绑定的Windows 8.1企业机器时,它在这种情况下成功。 但是,尽pipe需要TPM备份的策略设置,也不会发生 – 它既不存储在计算机属性中,也不会作为计算机的子对象创build。
在这个问题上,我一直没有find任何可以说明Windows 8.1的行为与Windows 8不同的文档。 由于Server 2008 R2的主stream支持截止date不到14年1月13日,因此我不希望微软有意实施我所描述的内容。 可能这是一个无意的行为? 如果是这样,那么最好的解决scheme是如何与微软进行沟通?
您正在encryptionWindows 8,因此2008r2模式需要扩展以支持TPM的2012扩展。
Greg发布的信息适用于Windows 7和不需要架构更新的服务器2008r2。
你混淆了两个不同的设置。
要防止BitLockerencryption,除非在Active Directory中备份信息,则需要启用以下组策略设置:
计算机>策略>pipe理模板> Windows组件> BitLocker驱动器encryption>操作系统驱动器
“在将恢复信息存储到AD DS以获取操作系统驱动器之前,不要启用BitLocker”
要启用TPM恢复,您不需要更新架构。 您需要启用对Self标识的ms-TPM-OwnershipInformation属性的写入访问。 Microsoft为此提供了Add-TPMSelfWriteACE.vbs脚本。
将BitLocker和TPM恢复信息备份到AD DS
http://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
事实之后,您也可以将信息备份到Active Directory。 这对于重新join域的计算机有时很有用:
manage-bde -protectors -get c:
(获得数字密码ID)
manage-bde -protectors -adbackup c: -id {<guid>}