ฉันเพิ่งถามคำถามเดียวกันที่นี่เมื่อประมาณเดือนที่แล้ว -> คีย์การกู้คืน BitLocker ไม่แสดงใน Active Directory
แต่ตอนนี้สิ่งต่าง ๆ เปลี่ยนไปและฉันยังคงได้รับผลลัพธ์เหมือนเดิม ฉันจะลงรายละเอียดให้มากที่สุดเท่าที่จะทำได้สำหรับโพสต์นี้ ดังนั้นฉันจึงไม่ต้องโพสต์อะไรอีก (หวังว่า)
ตกลง ดังนั้นเราต้องจัดเก็บคีย์เหล่านี้บน AD เพื่อให้เป็นไปตามข้อกำหนดของ DoD และฉันได้เขียน Java เล็กน้อยเพื่อหาจำนวนที่เรามี หลังจากเรียกใช้ Java ของฉัน เรามีคอมพิวเตอร์ 97 จาก 230 เครื่องที่มีคีย์ที่เก็บไว้ใน AD
ฉันสร้างนโยบายกลุ่มสำหรับ bitlocker และตั้งชื่อว่า "GP - Bitlocker"
การตั้งค่าแรกที่ฉันเปลี่ยนอยู่ในไดเร็กทอรีนี้: การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแลระบบ -> ส่วนประกอบของ Windows -> การเข้ารหัส Bitlocker Drive
"จัดเก็บข้อมูลการกู้คืน bitlocker ในบริการโดเมน Active Directory"
"เลือกวิธีการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส (Windows 8 / Server 2012)"
"เลือกวิธีการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส (Windows 10)"
"เลือกวิธีการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส (Windows Server 2008, Windows 7)"
นอกจากนี้ ฉันได้เปลี่ยนการตั้งค่าใน ../Operating System Drives (ซึ่ง .. เป็นไดเร็กทอรีก่อนหน้า)
"ต้องการการรับรองความถูกต้องเพิ่มเติมเมื่อเริ่มต้น"
"บังคับใช้ประเภทการเข้ารหัสไดรฟ์บนไดรฟ์ระบบปฏิบัติการ"
"เลือกวิธีการกู้คืนไดรฟ์ระบบปฏิบัติการที่ป้องกันด้วย BitLocker"
สำหรับตำแหน่งที่เชื่อมโยงนโยบายกลุ่ม นโยบายนั้นจะถูกจัดเก็บไว้ในไดเร็กทอรีที่มีนโยบายกลุ่มอื่นๆ ทั้งหมดที่เรามีในโดเมนชื่อ "Group Policy Objects" มีการเชื่อมโยงกับ OU ทั้งหมดที่เราต้องการให้เปิดใช้งาน GP แต่เราถอดออกเนื่องจากใช้งานไม่ได้ และเราต้องการเรียกใช้การทดสอบเฉพาะกับคอมพิวเตอร์จำนวนจำกัดเท่านั้น
ในขณะนี้ "GP - Bitlocker" เชื่อมโยงกับ 2 OU คือ "Test_Environment" และ "ไม่ทราบ" Notknown คือ OU ที่มีคอมพิวเตอร์ของผู้คนจริงๆ บนโดเมนของเราซึ่งมีแผนกที่ไม่ระบุรายละเอียด และ test_environment เป็นเพียงคอมพิวเตอร์ชั่วคราวที่เราใช้เพื่อทดสอบ GP
"ไม่ทราบ" มีคอมพิวเตอร์ 4/16 เครื่องที่มีคีย์ที่เก็บไว้ และ test_enivronment มีคอมพิวเตอร์ 1/4 เครื่องที่มีคีย์ที่เก็บไว้
ตอนนี้สิ่งที่เรากำลังคิดก็คือเนื่องจากพนักงานของเราหลายคนไม่ได้เชื่อมต่อกับ VPN หรือแม้แต่เข้าสู่ระบบคอมพิวเตอร์อย่างสม่ำเสมอ พวกเขาจึงไม่สามารถรับการอัปเดต GP ได้ เราเป็นบริษัทรับเหมาก่อสร้าง ด้วยเหตุนี้ เราจึงมีคนจำนวนมากที่ทำงานภาคสนามเป็นเวลาหลายเดือนในแต่ละครั้งและไม่ได้ใช้คอมพิวเตอร์ อย่างไรก็ตาม ฉันคิดว่า 97 ควรมากกว่าประมาณ 180 เพื่อให้แม่นยำสำหรับผู้ที่มีคอมพิวเตอร์อยู่ในสนาม หากฉันขาดข้อมูลใด ๆ โปรดแจ้งให้เราทราบและฉันยินดีที่จะเติมในช่องว่าง
นิค เมื่อคุณถามคำถามแรก การตั้งค่าของคุณสำหรับรหัสผ่านการกู้คืน (คีย์ 48 หลักที่ปรากฏในวัตถุคอมพิวเตอร์ AD บนแท็บการกู้คืน bitlocker) คือ: "ไม่อนุญาตให้ใช้รหัสผ่านการกู้คืน 48 หลัก"
ตอนนี้คุณเปลี่ยนให้ต้องใช้รหัสผ่านการกู้คืนแล้ว อย่างไรก็ตาม เนื่องจากระบบเหล่านี้ได้รับการเข้ารหัสแล้ว รหัสผ่านเหล่านี้จะไม่ส่งไปที่ AD (เนื่องจากรหัสผ่านจะถูกบันทึกเฉพาะในขณะที่เข้ารหัสเท่านั้น และจะไม่บันทึกในภายหลัง) เว้นแต่คุณจะสร้างด้วยตนเองซึ่งควรทำโดยใช้สคริปต์ที่คุณปรับใช้เป็นงานกำหนดเวลาทันที เช่น รหัสแบตช์สำหรับไดรฟ์ c::
สำหรับ /f "โทเค็น = 1,2" %%a ใน ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') ทำ Manage-bde -protectors -adbackup c: -id %%b
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
