使用GPO自動將Bitlocker恢復密鑰保存在Active Directory中

作為系統管理員，您可能會發現很難跟踪公司網絡中所有計算機的Bitlocker恢復鍵，尤其是當機器數量超過100個時。在本教程中，我們將向您展示如何設置組策略以自動備份Bitlocker恢復信息到Active Directory，因此您可以集中管理一個地方的恢復鍵/密碼。

如何配置GPO以自動將Bitlocker恢復密鑰保存到AD

更多閱讀：帶有PowerShell的Active Directory的導出Bitlocker恢復鍵

1. 單擊任務欄中的搜索圖標，然後鍵入“小組政策“。然後可以單擊小組政策管理啟動它。

   

2. 現在，在小組政策管理的左窗格中，右鍵單擊您的廣告域，然後選擇“在此域中創建GPO，然後在此處鏈接…”菜單。

   

3. 在新的GPO對話框中，給GPO一個名字，然後單擊好的。

   
4. 右鍵單擊左窗格中新創建的GPO，然後選擇編輯。

   

5. 瀏覽Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption，然後雙擊政策”將Bitlocker恢復信息存儲在Active Directory域服務中“。

   

6. 將政策設置為啟用。確保“需要bitlocker備份到AD DS”選項已選中，然後選擇以存儲恢復密碼和密鑰軟件包。

   

7. 接下來，擴展Bitlocker驅動器加密在左窗格中。您將看到三個節點：固定數據驅動器，操作系統驅動器，可移動數據驅動器。只需選擇固定數據驅動器，然後雙擊策略“選擇如何恢復受Bitlocker保護的固定驅動器“。

   
8. 將其設置為啟用。檢查選項“將Bitlocker恢復信息保存到AD DS中的固定驅動器”，然後單擊“確定”。

   

9. 轉到“操作系統驅動器”節點，然後打開類似的策略”選擇如何恢復受Bitlocker保護的操作系統驅動器“。之後，轉到“可移動數據驅動器”節點，啟用策略“選擇如何恢復如何恢復受Bitlocker保護的可移動驅動器“。
10. 當任何客戶端PC檢索策略更改時，Bitlocker恢復信息將自動，默默地備份到AD DS，當Bitlocker打開用於固定驅動器，操作系統驅動器或可移動驅動器時。

手動備份Bitlocker密碼以使用PowerShell廣告

如果在配置上述GPO策略之前啟用了Bitlocker，則可以使用PowerShell CMDLET手動將Bitlocker恢復密鑰上傳到Active Directory。請按照以下步驟：

1. 解鎖您的Bitlocker保護驅動器時，將PowerShell作為管理員打開並鍵入此命令：
   manage-bde -protectors -get D:

   

   您需要注意的是數值密碼ID。

2. 接下來，鍵入以下命令以備份您的Bitlocker恢復密碼到Active Directory。請記住，您必須使用上一步上獲得的數值密碼ID。
   manage-bde -protectors -adbackup D: -id {CAF6FEF0-7C98-4D6A-B80F-7BE63C033047}

   

3. 完成後，您將收到消息“恢復信息已成功備份到Active Directory”。