înregistrare Logare
Puncte:0
avatar Server

Cheile de recuperare BitLocker nu sunt afișate în Active Directory

drapel za
Anon

Am lucrat la asta toată săptămâna trecută și săptămâna aceasta și nu am făcut niciun progres. Lucrez în directorul activ și politica de grup și trebuie să stochez cheile de recuperare a Bitlocker în fila Bitlocker. Am urmat toate instrucțiunile online pentru ca acest lucru să funcționeze. Pana acum am...

  • L-am conectat la mediul meu de testare
  • Activat aplicat
  • Activat „Link activat”
  • L-am delegat pe mai multe computere din mediul de testare

În cadrul GPO

  1. Activat „Storează informațiile de recuperare a bitlockerului în ADDS”

  2. Activat „Alegeți criptarea unității și puterea cifrului” pentru toți versiuni de Windows

  3. Activat „Solicită autentificare suplimentară la pornire”

  4. Activat „Implementați tipul de criptare a unității pe unitățile sistemului de operare”

  5. Activat „Alegeți modul în care unitățile sistemului de operare protejate cu bitlocker pot fi recuperat" și setați-l la...

    A. „Nu permiteți parola de recuperare din 48 de cifre”

    b. „Permite cheia de recuperare pe 256 de biți”

    c. Bifat „Salvați informațiile de recuperare bitlokcer în AD DS pentru unitățile sistemului de operare”

    d. Stocați parolele de recuperare și pachetele de chei

În plus, nu sunt sigur dacă acesta este motivul pentru care eșuează, încerc să fac asta a doua oară. Am salvat cheile de recuperare bitlocker în AD DS pentru unele computere în urmă cu câteva luni și a funcționat. Deci, unele dintre computerele mele din directorul meu „Computer” au cheile de blocare a bitului, în timp ce altele nu.

În cele din urmă, tocmai l-am conectat la dincolo de mediul meu de testare în domeniul meu pentru a vedea dacă ar face o diferență. Dar toate computerele care au nevoie de cheia de recuperare sunt stocate în directorul implicit „Computers” al directorului activ, care nu permite conectarea unui GPO, așa că am legat GPO-ul la un grup de securitate cu toate computerele din el, mai degrabă decât o OU. .

Pot să răspund la orice am omis și pot partaja imagini dacă este mai ușor de vizualizat pentru oameni. Mulțumiri!!

1215
2 + 6
joeqwerty avatar
drapel cv
joeqwerty
Nu puteți conecta un GPO la un grup de securitate, dar puteți filtra un GPO în funcție de apartenența la un grup de securitate. Unde este conectat de fapt GPO-ul? La rădăcina domeniului AD? Dacă filtrați GPO-ul pe baza apartenenței la grup, ați repornit oricare dintre computere de când le-ați adăugat la grupul de securitate? Este BitLocker activat pe aceste computere? Ați rulat GPRESULT pentru a vedea dacă GPO-ul este aplicat computerelor în cauză?
1
Răspunde
drapel cn
Greg Askew
GPO arată că parolele de recuperare sunt dezactivate, dar cheile de recuperare sunt activate. Dacă utilizați chei de recuperare și nu parole, ar trebui să actualizați titlul și întrebarea pentru a reflecta acest lucru și să eliminați referințele la parole.
1
Răspunde
SamErde avatar
drapel gg
SamErde
GPO-ul este legat de rădăcina domeniului sau de un anumit OU?
0
Răspunde
drapel za
Anon
@joeqwerty Momentan îl conectez doar la mediul meu de testare OU și am delegarea setată la un grup de securitate care conține toate computerele din directorul meu „Computer”. Cu toate acestea, „Computers” nu este o organizație organizatorică și, prin urmare, nu pot lega niciun GPO la acesta. Aș putea folosi powershell și aș muta toate computerele într-o unitate organizatorică dacă asta m-ar ajuta. Am forțat actualizări și am repornit computere și m-am uitat în RSOP.msc pentru a vedea ce se întâmplă după fiecare actualizare forțată
0
Răspunde
drapel za
Anon
@GregAskew gata
0
Răspunde
drapel za
Anon
@SturdyErde în acest moment, singurul OU la care este legat este mediul meu de testare. Am setat delegarea pentru a distribui GPO unui grup de securitate cu toate computerele mele în el (calculatoarele din acest grup nu sunt în mediul de testare)
0
Răspunde
Puncte:0
Bernd Schwanenmeister avatar Server
drapel au
Bernd Schwanenmeister

Ceea ce sperați să vedeți în AD nu se numește cheie de recuperare, ci parolă de recuperare. Deoarece le-ați dezactivat în setările dvs. GPO citate, este clar de ce acestea nu apar.

0 + 0
Puncte:0
joeqwerty avatar Server
drapel cv
joeqwerty

Conturile de computer trebuie să fie în domeniul de aplicare al GPO. Dacă conturile de computer sunt într-o OU și GPO-ul este conectat la o altă OU, atunci GPO-ul nu se va aplica computerelor, indiferent de filtrarea dvs. de securitate. În acest caz, ar trebui să conectați GPO-ul la OU unde se află conturile computerului,

Dacă computerele se află în containerul implicit Computers și GPO-ul este conectat la o OU, GPO-ul nu se va aplica computerelor, indiferent de filtrarea dvs. de securitate. În acest caz, ar trebui să conectați GPO-ul la rădăcina domeniului AD.

0 + 3
drapel za
Anon
Ar exista consecințe negative dacă aș muta toate computerele pe care le doream din directorul „Computere” într-o unitate organizatorică separată? Există un avantaj în a păstra computerele acolo din orice motiv sau este doar acolo pentru a fi acolo?
0
Răspunde
joeqwerty avatar
drapel cv
joeqwerty
Este doar containerul implicit pentru conturile de computer din domeniu. Pe baza a ceea ce ați afirmat, nu este nevoie să intru în capriciile privind prioritatea GPO, blocarea moștenirii, aplicarea GPO etc., dar probabil că doriți doar să vă asigurați că nu aveți moștenirea GPO blocată pe OU care le muți la.
0
Răspunde
drapel za
Anon
multumesc, voi incerca asta!
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.