บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

คีย์การกู้คืน BitLocker ไม่แสดงใน Active Directory

ธง za
Anon

ฉันทำงานเกี่ยวกับเรื่องนี้มาตลอดสัปดาห์ที่แล้วและสัปดาห์นี้ และไม่มีความคืบหน้าใดๆ ฉันกำลังทำงานใน Active Directory และ Group Policy และจำเป็นต้องจัดเก็บคีย์การกู้คืน Bitlocker ไว้ในแท็บ Bitlocker ฉันได้ทำตามคำแนะนำออนไลน์ทั้งหมดเพื่อให้สิ่งนี้ใช้งานได้ จนถึงตอนนี้ฉันมี ...

  • เชื่อมโยงกับสภาพแวดล้อมการทดสอบของฉัน
  • เปิดใช้งานการบังคับใช้
  • เปิด "เปิดใช้งานลิงก์"
  • มอบให้กับคอมพิวเตอร์หลายเครื่องในสภาพแวดล้อมการทดสอบ

ภายในกปภ

  1. เปิดใช้งาน "จัดเก็บข้อมูลการกู้คืน bitlocker ใน ADDS"

  2. เปิดใช้งาน "เลือกการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส" สำหรับทุกคน เวอร์ชันของหน้าต่าง

  3. เปิดใช้งาน "ต้องการการรับรองความถูกต้องเพิ่มเติมเมื่อเริ่มต้น"

  4. เปิดใช้งาน "บังคับใช้ประเภทการเข้ารหัสไดรฟ์บนไดรฟ์ระบบปฏิบัติการ"

  5. เปิดใช้งาน "เลือกวิธีที่ไดรฟ์ระบบปฏิบัติการที่ป้องกันด้วย bitlocker สามารถทำได้ ให้หาย" แล้วตั้งค่าเป็น...

    ก. "ไม่อนุญาตให้ใช้รหัสผ่านการกู้คืน 48 หลัก"

    ข. "อนุญาตคีย์การกู้คืน 256 บิต"

    ค. ทำเครื่องหมายที่ "บันทึกข้อมูลการกู้คืน bitlokcer ไปยัง AD DS สำหรับไดรฟ์ระบบปฏิบัติการ"

    ง. เก็บรหัสผ่านการกู้คืนและแพ็คเกจคีย์

นอกจากนี้ ฉันไม่แน่ใจว่านี่คือสาเหตุที่ทำให้ล้มเหลวหรือไม่ ฉันกำลังพยายามทำสิ่งนี้เป็นครั้งที่สอง ฉันบันทึกคีย์การกู้คืน bitlocker ใน AD DS สำหรับคอมพิวเตอร์บางเครื่องเมื่อไม่กี่เดือนก่อนและใช้งานได้ ดังนั้นคอมพิวเตอร์บางเครื่องในไดเร็กทอรี "คอมพิวเตอร์" ของฉันจึงมีคีย์ bitlocker ในขณะที่บางเครื่องไม่มี

สุดท้าย ฉันเพิ่งเชื่อมโยงสภาพแวดล้อมการทดสอบนอกเหนือจากโดเมนของฉันเพื่อดูว่าจะสร้างความแตกต่างได้หรือไม่ แต่คอมพิวเตอร์ทุกเครื่องที่ต้องการคีย์การกู้คืนจะถูกจัดเก็บไว้ในไดเร็กทอรี "คอมพิวเตอร์" เริ่มต้นของ Active Directory ซึ่งไม่อนุญาตให้เชื่อมโยง GPO ดังนั้นฉันจึงเชื่อมโยง GPO กับกลุ่มความปลอดภัยที่มีคอมพิวเตอร์ทั้งหมดอยู่ในนั้นแทนที่จะเป็น OU .

ฉันสามารถตอบทุกสิ่งที่ฉันพลาดไปและฉันสามารถแบ่งปันรูปภาพได้หากสิ่งนั้นทำให้ผู้คนเห็นภาพได้ง่ายขึ้น ขอบคุณ!!

1215
2 + 6
joeqwerty avatar
cv flag
joeqwerty
คุณไม่สามารถเชื่อมโยง GPO กับกลุ่มความปลอดภัยได้ แต่คุณสามารถกรอง GPO ตามความเป็นสมาชิกของกลุ่มความปลอดภัยได้ จริงๆแล้ว GPO เชื่อมโยงกับที่ไหน? ไปที่รูทของโดเมน AD? หากคุณกำลังกรอง GPO ตามความเป็นสมาชิกกลุ่ม คุณได้รีบูตเครื่องคอมพิวเตอร์ใดๆ ตั้งแต่เพิ่มไปยังกลุ่มความปลอดภัยหรือไม่ BitLocker เปิดใช้งานบนคอมพิวเตอร์เหล่านี้หรือไม่ คุณได้เรียกใช้ GPRESULT เพื่อดูว่ามีการใช้ GPO กับคอมพิวเตอร์ที่เป็นปัญหาหรือไม่
1
ตอบกลับ
cn flag
Greg Askew
GPO แสดงให้เห็นว่ารหัสผ่านการกู้คืนถูกปิดใช้งาน แต่เปิดใช้งานคีย์การกู้คืน หากคุณใช้คีย์การกู้คืนและไม่ใช่รหัสผ่าน คุณควรอัปเดตชื่อเรื่องและคำถามเพื่อให้สอดคล้องกับสิ่งนั้นและลบการอ้างอิงถึงรหัสผ่าน
1
ตอบกลับ
SamErde avatar
gg flag
SamErde
GPO เชื่อมโยงกับรูทโดเมนหรือ OU เฉพาะหรือไม่
0
ตอบกลับ
za flag
Anon
@joeqwerty ขณะนี้ฉันกำลังเชื่อมโยงไปยังสภาพแวดล้อมการทดสอบ OU ของฉันเท่านั้น และฉันได้ตั้งค่าการมอบหมายเป็นกลุ่มความปลอดภัยที่มีคอมพิวเตอร์ทุกเครื่องในไดเรกทอรี "คอมพิวเตอร์" ของฉัน อย่างไรก็ตาม "คอมพิวเตอร์" ไม่ใช่ OU ดังนั้นฉันจึงไม่สามารถเชื่อมโยง GPO ใดๆ กับมันได้ ฉันสามารถใช้ PowerShell และย้ายคอมพิวเตอร์ทั้งหมดไปยัง OU ได้หากจะช่วยได้ ฉันได้บังคับอัปเดตและรีสตาร์ทคอมพิวเตอร์รวมทั้งดูใน RSOP.msc เพื่อดูว่าเกิดอะไรขึ้นหลังจากอัปเดตที่บังคับแต่ละครั้ง
0
ตอบกลับ
za flag
Anon
@GregAskew เสร็จแล้ว
0
ตอบกลับ
za flag
Anon
@SturdyErde ในขณะนี้ OU เดียวที่เชื่อมโยงคือสภาพแวดล้อมการทดสอบของฉัน ฉันได้ตั้งค่าการมอบหมายเพื่อแจกจ่าย GPO ไปยังกลุ่มความปลอดภัยที่มีคอมพิวเตอร์ทั้งหมดของฉันอยู่ในนั้น (คอมพิวเตอร์ในกลุ่มนี้ไม่ได้อยู่ในสภาพแวดล้อมการทดสอบ)
0
ตอบกลับ
Score:0
joeqwerty avatar Server
ธง cv
joeqwerty

บัญชีคอมพิวเตอร์จำเป็นต้องอยู่ในขอบเขตการจัดการของ GPO หากบัญชีคอมพิวเตอร์อยู่ใน OU เดียว และ GPO เชื่อมโยงกับ OU อื่น ดังนั้น GPO จะไม่นำไปใช้กับคอมพิวเตอร์ โดยไม่คำนึงถึงการกรองความปลอดภัยของคุณ ในกรณีนี้ คุณจะต้องเชื่อมโยง GPO กับ OU ที่มีบัญชีคอมพิวเตอร์อยู่

หากคอมพิวเตอร์อยู่ในคอนเทนเนอร์คอมพิวเตอร์เริ่มต้นและ GPO เชื่อมโยงกับ OU ดังนั้น GPO จะไม่นำไปใช้กับคอมพิวเตอร์ โดยไม่คำนึงถึงการกรองความปลอดภัยของคุณ ในกรณีนี้ คุณจะต้องเชื่อมโยง GPO กับรากของโดเมน AD

0 + 3
za flag
Anon
จะมีผลเสียหรือไม่หากฉันย้ายคอมพิวเตอร์ทั้งหมดที่ต้องการจากไดเร็กทอรี "คอมพิวเตอร์" ไปยัง OU อื่น เช่น มีข้อได้เปรียบในการเก็บคอมพิวเตอร์ไว้ในนั้นไม่ว่าด้วยเหตุผลใดก็ตาม หรือมีไว้เพื่ออยู่ที่นั่นเท่านั้น?
0
ตอบกลับ
joeqwerty avatar
cv flag
joeqwerty
เป็นเพียงคอนเทนเนอร์เริ่มต้นสำหรับบัญชีคอมพิวเตอร์ในโดเมน จากสิ่งที่คุณระบุไว้ ฉันไม่มีความจำเป็นต้องเข้าไปยุ่งเกี่ยวกับลำดับความสำคัญของ GPO, การบล็อกการสืบทอด, การบังคับใช้ GPO ฯลฯ แต่คุณอาจต้องการให้แน่ใจว่าคุณไม่มีการสืบทอด GPO ที่ถูกบล็อกใน OU ที่ คุณย้ายพวกเขาไปที่
0
ตอบกลับ
za flag
Anon
ขอบคุณ ฉันจะลองดู!
1
ตอบกลับ
Score:0
Bernd Schwanenmeister avatar Server
ธง au
Bernd Schwanenmeister

สิ่งที่คุณหวังว่าจะเห็นใน AD ไม่เรียกว่าคีย์การกู้คืน แต่เป็นรหัสผ่านการกู้คืน เนื่องจากคุณปิดใช้งานการตั้งค่า GPO ที่ยกมา จึงเป็นที่ชัดเจนว่าเหตุใดจึงไม่ปรากฏ

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา