Active-Directory

BitLocker 恢復密鑰未顯示在 Active Directory 中

  • June 30, 2021

上周和本週我一直在做這件事,但沒有取得任何進展。我在活動目錄和組策略中工作,需要將 bitlocker 恢復密鑰儲存在 bitlocker 選項卡中。我已按照線上的所有說明進行操作。到目前為止,我已經…

  • 將其連結到我的測試環境
  • 已強制啟用
  • 開啟“連結已啟用”
  • 將其委託給測試環境中的多台電腦

在 GPO 內

  1. 啟用“在 ADDS 中儲存 bitlocker 恢復資訊”
  2. 為所有版本的 Windows 啟用“選擇驅動器加密和密碼強度”
  3. 啟用“啟動時需要額外的身份驗證”
  4. 啟用“在作業系統驅動器上強制執行驅動器加密類型”
  5. 啟用“選擇如何恢復受 bitlocker 保護的作業系統驅動器”並將其設置為…

一種。“不允許 48 位恢復密碼”

灣。“允許 256 位恢復密鑰”

C。選中“將 bitlokcer 恢復資訊保存到作業系統驅動器的 AD DS”

d。儲存恢復密碼和密鑰包

此外,我不確定這是否是它失敗的原因,我正在嘗試第二次這樣做。幾個月前,我在一些電腦的 AD DS 中保存了 bitlocker 恢復密鑰,它工作正常。因此,我的“電腦”目錄中的某些電腦具有 bitlocker 密鑰,而有些則沒有。

最後,我剛剛將它連結到我的測試環境之外的域中,看看它是否會有所作為。但是所有需要恢復密鑰的電腦都儲存在活動目錄的預設“電腦”目錄中,該目錄不允許連結 GPO,因此我將 GPO 連結到包含所有電腦的安全組,而不是 OU .

我可以回答我遺漏的任何內容,如果人們更容易想像,我可以分享圖片。謝謝!!

電腦帳戶需要在 GPO 的管理範圍內。如果電腦帳戶在一個 OU 中,並且 GPO 連結到另一個 OU,則無論您的安全過濾如何,GPO 都不會應用於電腦。在這種情況下,您需要將 GPO 連結到電腦帳戶所在的 OU,

如果電腦位於預設電腦容器中,並且 GPO 連結到 OU,則無論您的安全過濾如何,GPO 都不會應用於電腦。在這種情況下,您需要將 GPO 連結到 AD 域的根目錄。

引用自:https://serverfault.com/questions/1068103