我正在通过AD在工作中尝试bitlocker部署。 已经在互联网上search,但最有用的参考似乎是:
服务器2012 R2,完全更新。 testing客户端是Windows 7旗舰版64位,完全更新。
由于某种原因,这是行不通的 – 我怎样才能找出什么是错的? 我创build了一个GPO,将其链接到OU,将win7机器join到域中,并将win7机器移动到OU中。 我希望它(也许是不正确的?)只是开始encryption,并将bitlocker恢复密钥保存到AD的某处(不知道在哪里可以find)。但它什么都不做。
检查BIOS是否启用了TPM。 我尝试了'''gpupdate / force'''并重新启动win7机器…但仍然没有。
我注意到的第一件事是它只是说“2008年和Vista”…是否应该有一些额外的设置在其他地方的Win7和8?
天哪,find某种方式来诊断为什么它不工作,而不是盲目地猜测,真的很好。另外,如果有人成功地做了这件事,并logging了这个过程?
在您的环境中pipe理bitlocker的stream线将是考虑多学科方法。
将组策略设置为自动将恢复密钥备份到活动目录,并且如果恢复密钥未存储在AD中,则不encryption计算机。 此外,如果用户将encryption自己的机器,请禁用提示inputPIN和密码,除非您在您的环境中使用它们。
创build一个计划来encryption已经在环境中的机器,而不是新build的工作站。 新工作站通常更简单,因为BitLocker需要在工作站上存在系统分区来存储其引导加载程序。 根据您的成像过程,这可能存在也可能不存在于您当前的工作站,如果不是一个单独的步骤将不得不运行准备硬盘驱动器bitlocker ,但命令逃脱我的时刻。 GUI会自动执行,并在继续之前需要重新启动,我必须假定命令行是相同的方式。 manage-bde也可以用于将已经encryption的计算机的恢复备份到活动目录,就像在实施组策略之前那样。 当然,在谈到自动化的bitlocker部署时,您还必须考虑TPM芯片的启用和激活。
将恢复密钥备份到Active Directory是可以的,但是当计算机帐户被吹走时,它就不存在了。 如果机器已经被丢弃,没有什么大不了的,但是如果这只是笔记本电脑离开networking一段时间,并且受到AD清理脚本的限制,那么这可能是一个主要问题。 Powershell可以用来从活动目录检索备份密钥,如果这是你想要的东西。
如前所述,您不能直接从活动目录中启动阻塞encryption。
可以在笔记本电脑上使用计划任务(可通过组策略首选项进行部署)来启动encryption过程并传入所需的参数。
您仍然希望用于集中pipe理恢复密钥的组策略选项。 在执行恢复关键政策之前,我执行了这样的计划,并将自己locking。 不好玩。 组策略将确保脚本化作业满足与通过GUI启动相同的要求。