Владение TPM для Windows 8.1 на схеме Server 2008 R2 – не спецификация?
В моей организации работает AD DS на схеме Server 2008 R2. Я уже плохо знаю, но давайте притворимся, что это невозможно изменить. В нашей политике домена по умолчанию у нас есть следующий параметр, разрешающий требовать резервное копирование hashей значений авторизации владельца TPM:
Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services В результате, когда я пытаюсь зашифровать связанную с AD машину Windows 8 Enterprise с помощью BitLocker, она терпит неудачу, поскольку Windows 8 пытается save хеш авторизации TPM в качестве дочернего objectа (с типом ms-TPM-OwnershipInformation ) компьютерного objectа, в то time как схема Server 2008 R2 требует сохранения этой информации как атрибута (в частности, msTPM-OwnerInformation ) objectа компьютера. Это прекрасно и денди – на самом деле, в статье TechNet четко указано, что это поведение является преднамеренным, и решение заkeyается в обновлении схемы Server 2012. Круто.
Бит, который касается меня, заkeyается в том, что когда я пытаюсь зашифровать машину Windows 8.1 Enterprise с привязкой к AD, она преуспевает в этих же обстоятельствах. Однако, несмотря на настройку политики, требующую резервного копирования TPM, она просто не возникает – она не сохраняется в атрибуте компьютера и не создается в качестве дочернего objectа к компьютеру.
- Windows 8.1 теряет connection с сетевым ресурсом
- Настроить определенную тему для всей сети с использованием objectа групповой политики
- Скрытие активной учетной записи администратора в Windows 8
- Как find минимальные предварительные условия на апрель 2017 года KB4015550 Обновление Windows 8.1?
- Управление serverом Hyper-V из Windows 8.1
Я не смог find документацию, которая указывала бы, что Windows 8.1 ведет себя по-другому, чем Windows 8 по этому вопросу. Поскольку основная date окончания поддержки для Server 2008 R2 не будет до 01/13/14, я бы не ожидал, что Microsoft намеренно реализовала то, что я описал. Может ли это быть непреднамеренным поведением? Если да, то как лучше всего решить вопрос с Microsoft?
- Server 2012 Essentials не viewит ПК после обновления до Windows 10
- Клиенты Windows 8.1, отображающие принтер в автономном режиме после повторного подkeyения к сети
- Служба журналов событий разбита на устройствах Windows 8.1 dev
- Групповая политика Bitlocker для Windows 8.1 и Windows Server 2008 R2
- Как разрешить конtextную ошибку SSPI без изменения учетной записи службы из MSSQL
- MSTSC: черные области на удаленном рабочем столе
- Windows 8 и Windows 8.1 на VMWare ESX - Как уменьшить базовую нагрузку
- Перемещение \ inetpub \ для IIS 8.5
Вы шифруете Windows 8, поэтому схема 2008r2 нуждается в расширении для поддержки расширений 2012 года для TPM.
Информация, размещенная Greg для Windows 7 и serverа 2008r2, которая не нуждается в обновлении схемы.
Вы смешиваете две разные настройки.
Чтобы предотвратить encryption BitLocker, если информация не была скопирована в Active Directory, вам необходимо вkeyить следующий параметр групповой политики:
Компьютер> Политики> Административные templates> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы
«Не вkeyайте BitLocker, пока данные восстановления не будут сохранены в AD DS для дисков операционной системы»
Чтобы вkeyить восстановление TPM, вам не нужно обновлять схему. Вам нужно вkeyить доступ для записи к атрибуту ms-TPM-OwnershipInformation для самоидентификации. Для этого Microsoft предоставляет сценарий Add-TPMSelfWriteACE.vbs.
Резервное копирование данных восстановления BitLocker и TPM в AD DS
http://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
После этого вы также можете сделать резервную копию информации в Active Directory. Это иногда полезно для компьютеров, которые подkeyены к домену:
manage-bde -protectors -get c:
(введите идентификатор numbers)
manage-bde -protectors -adbackup c: -id {<guid>}