使用 GPO 自动在 Active Directory 中保存 BitLocker 恢复密钥
作为系统管理员,您可能会发现跟踪公司网络中所有计算机的 BitLocker 恢复密钥很困难,尤其是当计算机数量超过 100 台时。在本教程中,我们将向您展示如何设置组策略以自动将 BitLocker 恢复信息备份到 Active Directory,以便您可以在一个位置集中管理恢复密钥/密码。
如何配置 GPO 以自动将 BitLocker 恢复密钥保存到 AD
- 单击任务栏中的搜索图标并输入“组策略“。然后您可以单击组策略管理启动它。
- 现在,在组策略管理的左侧窗格中,右键单击您的 AD 域并选择“在此域中创建一个 GPO,然后将其链接到此处...”从菜单中。
- 在“新建 GPO”对话框中,为 GPO 命名并单击好的。
- 右键单击左侧窗格中新创建的 GPO,然后选择编辑。
- 浏览至
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption,然后双击策略“将 BitLocker 恢复信息存储在 Active Directory 域服务中”。
- 将策略设置为启用。确保“需要 BitLocker 备份到 AD DS”选项被选中,并选择同时存储恢复密码和密钥包。
- 接下来,展开BitLocker 驱动器加密在左窗格中。您将看到三个节点:固定数据驱动器、操作系统驱动器、可移动数据驱动器。只需选择固定数据驱动器并双击策略“选择如何恢复受 BitLocker 保护的固定驱动器”。
- 将其设置为启用。选中“将 BitLocker 恢复信息保存到固定驱动器的 AD DS”选项,然后单击“确定”。
- 转到“操作系统驱动器”节点并打开类似的策略“选择如何恢复受 BitLocker 保护的操作系统驱动器”。然后,转到“可移动数据驱动器”节点并启用策略“选择如何恢复受 BitLocker 保护的可移动驱动器”。
- 当任何客户端 PC 检索策略更改时,当为固定驱动器、操作系统驱动器或可移动驱动器打开 BitLocker 时,BitLocker 恢复信息将自动以静默方式备份到 AD DS。
使用 PowerShell 将 BitLocker 密码手动备份到 AD
如果在配置上述 GPO 策略之前已启用 BitLocker,则可以使用 PowerShell cmdlet 将 BitLocker 恢复密钥手动上传到 Active Directory。请按照下列步骤操作:
- 当受 BitLocker 保护的驱动器解锁时,以管理员身份打开 PowerShell 并键入以下命令:
manage-bde -protectors -get D:
您需要注意的是数字密码 ID。
- 接下来,键入以下命令将 BitLocker 恢复密码备份到 Active Directory。请记住,您必须使用上一步中获得的数字密码 ID。
manage-bde -protectors -adbackup D: -id {CAF6FEF0-7C98-4D6A-B80F-7BE63C033047}
- 完成后,您将收到消息“恢复信息已成功备份到 Active Directory。”
