Active-Directory
BitLocker 恢復密鑰未顯示在 Active Directory 中
上周和本週我一直在做這件事,但沒有取得任何進展。我在活動目錄和組策略中工作,需要將 bitlocker 恢復密鑰儲存在 bitlocker 選項卡中。我已按照線上的所有說明進行操作。到目前為止,我已經…
- 將其連結到我的測試環境
- 已強制啟用
- 開啟“連結已啟用”
- 將其委託給測試環境中的多台電腦
在 GPO 內
- 啟用“在 ADDS 中儲存 bitlocker 恢復資訊”
- 為所有版本的 Windows 啟用“選擇驅動器加密和密碼強度”
- 啟用“啟動時需要額外的身份驗證”
- 啟用“在作業系統驅動器上強制執行驅動器加密類型”
- 啟用“選擇如何恢復受 bitlocker 保護的作業系統驅動器”並將其設置為…
一種。“不允許 48 位恢復密碼”
灣。“允許 256 位恢復密鑰”
C。選中“將 bitlokcer 恢復資訊保存到作業系統驅動器的 AD DS”
d。儲存恢復密碼和密鑰包
此外,我不確定這是否是它失敗的原因,我正在嘗試第二次這樣做。幾個月前,我在一些電腦的 AD DS 中保存了 bitlocker 恢復密鑰,它工作正常。因此,我的“電腦”目錄中的某些電腦具有 bitlocker 密鑰,而有些則沒有。
最後,我剛剛將它連結到我的測試環境之外的域中,看看它是否會有所作為。但是所有需要恢復密鑰的電腦都儲存在活動目錄的預設“電腦”目錄中,該目錄不允許連結 GPO,因此我將 GPO 連結到包含所有電腦的安全組,而不是 OU .
我可以回答我遺漏的任何內容,如果人們更容易想像,我可以分享圖片。謝謝!!
電腦帳戶需要在 GPO 的管理範圍內。如果電腦帳戶在一個 OU 中,並且 GPO 連結到另一個 OU,則無論您的安全過濾如何,GPO 都不會應用於電腦。在這種情況下,您需要將 GPO 連結到電腦帳戶所在的 OU,
如果電腦位於預設電腦容器中,並且 GPO 連結到 OU,則無論您的安全過濾如何,GPO 都不會應用於電腦。在這種情況下,您需要將 GPO 連結到 AD 域的根目錄。