Windows Active位存器部署
我正在尝试通过AD在工作中部署比特储物柜。已经在互联网上搜索过,但最有用的参考资料似乎是:
- http://technet.microsoft.com/en-us/library/cc766015(v=ws.10).aspx
服务器2012 R2,完全更新。测试客户端是Windows 7终极64位,完全更新。
因为某种原因,它不起作用--我怎么知道出了什么问题?我创建了GPO,将其链接到OU,将win7机器加入域,并将win7机器移动到OU中。我希望它(也许不正确?)只需开始加密,并将位锁恢复密钥保存到某个AD中(还不确定在哪里可以找到该密钥)。但它什么也做不了。
检入已启用TPM的BIOS。我试过“gpupdate/force”并重新启动了win7机器.但还是什么都没有。
- 计算机/策略/管理模板/系统/ TPM服务
- (禁用)将TPM备份打开到AD
- 计算机/策略/管理模板/ Windows组件/锁存驱动器加密
- (启用)在AD中存储位存器恢复信息(Server 2008和Vista)
- 计算机/策略/管理模板/ Windows组件/比特锁驱动器加密/操作系统驱动
- (已启用)在操作系统驱动器上强制驱动器加密
我注意到的第一件事是它只写着"2008和Vista“.Win7和8应该有其他设置吗?
天哪,找到诊断它不起作用的方法会很好,而不是盲目地猜测.另外,如果有人成功地完成了这个任务并记录了这个过程?
回答 2
Server Fault用户
发布于 2014-02-27 14:55:36
在你的环境中管理比特储物柜的一个流线型就是考虑一个多学科的方法。
组策略
将组策略设置为将恢复密钥自动备份到活动目录,如果恢复密钥未存储在AD中,则不加密计算机。此外,如果用户将自己的计算机加密,禁用提示输入PIN和密码,除非在您的环境中使用它们。
部署
创建一个计划来加密已经在环境中的机器,而不是新建的工作站。新工作站通常比较容易,因为位锁存器需要在工作站上存在一个系统分区,以存储其引导加载程序。这取决于您的成像过程,在您当前的工作站上可能存在也可能不存在,如果不这样做,则必须运行为比特储物柜准备硬盘为比特储物柜准备硬盘,但此时命令无法执行。GUI将自动完成,并需要在继续之前重新启动,我必须假设命令行是相同的。还可以使用manage-bde将已经加密的机器的恢复备份到active目录,就像在实现组策略之前一样。当然,您还必须考虑到TPM芯片的启用和激活时,谈到自动比特储物柜部署。
维护/灾难恢复
将恢复键备份到Active Directory是可以的,但是当计算机帐户被吹走时,它就消失了。如果这台机器已经被处理了,那就没什么大不了的了,但是如果这只是一台离开网络一段时间的笔记本电脑,并且接受了一个广告清理脚本的话,这可能是个大问题。Powershell可以用于从活动目录中检索备份密钥,如果这是您想要考虑的内容。
Server Fault用户
发布于 2014-02-27 13:40:55
如前所述,您实际上无法从活动目录中直接启动阻止程序加密。
可以使用笔记本上的预定任务(可以通过组策略首选项进行部署)启动加密过程并传递所需的参数。
您仍然希望集中管理恢复键的组策略选项就位。在我把恢复的关键策略放在位置之前,我就像这样运行预定的服务器,并将自己锁在门外。一点都不好玩。组策略将确保脚本作业满足与通过GUI启动时相同的需求。
https://serverfault.com/questions/578575
复制相似问题
腾讯云开发者
