Я недавно задавал этот же вопрос здесь около месяца назад ->
Ключи восстановления BitLocker не отображаются в Active Directory
Но сейчас все изменилось, и я все еще получаю те же результаты. Я собираюсь рассказать об этом как можно подробнее, поэтому мне не нужно делать больше сообщений (надеюсь).
Итак, нам нужно хранить эти ключи в AD, чтобы соответствовать требованиям Министерства обороны, и я написал немного Java, чтобы узнать, сколько у нас их есть. После запуска моей Java у нас есть 97 из 230 компьютеров с сохраненным ключом в AD.
Я создал групповую политику для битлокера и назвал ее «GP — Bitlocker».
Первые настройки, которые я изменил, находятся в этом каталоге:
Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Шифрование диска Bitlocker
«Хранить информацию о восстановлении битлокатора в службе домена Active Directory»
«Выберите метод шифрования диска и стойкость шифра (Windows 8 / Server 2012)»
«Выберите метод шифрования диска и стойкость шифра (Windows 10)»
«Выберите метод шифрования диска и стойкость шифра (Windows Server 2008, Windows 7)»
Кроме того, я изменил настройки в ../Operating System Drives (.. является предыдущим каталогом)
"Требовать дополнительную аутентификацию при запуске"
«Использовать тип шифрования диска на дисках операционной системы»
«Выберите способ восстановления дисков операционной системы, защищенных BitLocker»
Что касается того, где связана групповая политика, она хранится в каталоге со всеми другими моими групповыми политиками, которые у нас есть в нашем домене под названием «Объекты групповой политики». Он был связан со всеми подразделениями, для которых мы хотели включить GP, но мы отключили его, потому что он не работал, и мы хотели запускать тесты только на ограниченном количестве компьютеров.
На данный момент «GP — Bitlocker» связан с 2 OU, «Test_Environment» и «Неизвестно». Неизвестно — это OU с компьютерами реальных людей в нашем домене с неуказанным отделом, а test_environment — это просто временные компьютеры, которые мы используем для тестирования GP.
«Неизвестно» было 4/16 компьютеров с сохраненным ключом, а test_enivronment имеет 1/4 компьютеров с сохраненным ключом.
Наши возможности для GP
Прямо сейчас мы думаем, что, поскольку многие из наших сотрудников не всегда подключаются к VPN или даже не входят в свои компьютеры, они не могут получить обновление GP. Мы строительная компания, и поэтому у нас есть много людей, которые месяцами работают в полевых условиях и не используют свои компьютеры. Тем не менее, я думаю, что 97 должно быть больше примерно 180 или около того, чтобы быть точным для тех, у кого есть компьютеры в полевых условиях. Если мне не хватает какой-либо информации, пожалуйста, дайте мне знать, и я буду рад восполнить пробелы.
