我在组策略中配置了BitLocker和TPM设置,以便设置所有选项并将恢复密钥存储在Active Directory中.我们所有的机器都运行带有标准企业映像的
Windows 7,并且在BIOS中启用并激活了TPM芯片.
我的目标是使其成为所有用户必须要做的就是单击启用BitLocker并远离它. Microsoft甚至提供可以通过脚本部署的自动化示例.但要让这个过程顺利进行,还有一个小小的障碍.
在GUI中,当用户启用BitLocker时,它必须使用自动生成的所有者密码初始化TPM.但是,恢复密码会显示给用户,并提示他们将其保存到文本文件中.我似乎无法抑制此对话框,并且不能跳过该步骤.这是一个不需要的(和不必要的)提示,因为密钥已成功备份到AD.
如果我编写部署脚本,我必须在初始化TPM时在脚本中提供所有者密码,并且我希望它以GUI的方式随机生成.
有没有办法让BitLocker部署真正实现零触摸我想要的方式?
您可以通过组策略执行此操作.如果您已将恢复密钥/软件包配置为要备份到AD,那么您需要做的就是在配置备份到AD的同一屏幕上选中“从BitLocker安装向导中省略恢复选项”复选框.此设置是每种驱动器类型 – 操作系统,固定和可移动.如果您加密的不仅仅是操作系统驱动器,则需要在“计算机配置”中的每个节点中设置策略>管理模板> Windows组件> BitLocker驱动器加密.请记住,此复选框仅从向导中删除页面.如果您还希望阻止用户在加密后导出恢复密钥,则还必须禁用这两个恢复选项.
原文链接:https://www.f2er.com/windows/370257.html另外,请注意支持这些策略的平台.此处有两组策略设置,一组用于Vista / Server2008,另一组用于7 / Server2012及更高版本.如果您仍在使用Vista,则需要使用“选择用户如何恢复受BitLocker保护的驱动器”策略并将两种方法都设置为“不允许”,然后将“在Active Directory域服务中存储BitLocker恢复信息”策略设置为“已启用” .