Владение TPM для Windows 8.1 на схеме Server 2008 R2 – не спецификация?

В моей организации работает AD DS на схеме Server 2008 R2. Я уже плохо знаю, но давайте притворимся, что это невозможно изменить. В нашей политике домена по умолчанию у нас есть следующий параметр, разрешающий требовать резервное копирование hashей значений авторизации владельца TPM:

Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services 

В результате, когда я пытаюсь зашифровать связанную с AD машину Windows 8 Enterprise с помощью BitLocker, она терпит неудачу, поскольку Windows 8 пытается save хеш авторизации TPM в качестве дочернего objectа (с типом ms-TPM-OwnershipInformation ) компьютерного objectа, в то time как схема Server 2008 R2 требует сохранения этой информации как атрибута (в частности, msTPM-OwnerInformation ) objectа компьютера. Это прекрасно и денди – на самом деле, в статье TechNet четко указано, что это поведение является преднамеренным, и решение заkeyается в обновлении схемы Server 2012. Круто.

Бит, который касается меня, заkeyается в том, что когда я пытаюсь зашифровать машину Windows 8.1 Enterprise с привязкой к AD, она преуспевает в этих же обстоятельствах. Однако, несмотря на настройку политики, требующую резервного копирования TPM, она просто не возникает – она ​​не сохраняется в атрибуте компьютера и не создается в качестве дочернего objectа к компьютеру.

Я не смог find документацию, которая указывала бы, что Windows 8.1 ведет себя по-другому, чем Windows 8 по этому вопросу. Поскольку основная date окончания поддержки для Server 2008 R2 не будет до 01/13/14, я бы не ожидал, что Microsoft намеренно реализовала то, что я описал. Может ли это быть непреднамеренным поведением? Если да, то как лучше всего решить вопрос с Microsoft?

Вы шифруете Windows 8, поэтому схема 2008r2 нуждается в расширении для поддержки расширений 2012 года для TPM.

Информация, размещенная Greg для Windows 7 и serverа 2008r2, которая не нуждается в обновлении схемы.

Вы смешиваете две разные настройки.

Чтобы предотвратить encryption BitLocker, если информация не была скопирована в Active Directory, вам необходимо вkeyить следующий параметр групповой политики:

Компьютер> Политики> Административные templates> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы

«Не вkeyайте BitLocker, пока данные восстановления не будут сохранены в AD DS для дисков операционной системы»

Чтобы вkeyить восстановление TPM, вам не нужно обновлять схему. Вам нужно вkeyить доступ для записи к атрибуту ms-TPM-OwnershipInformation для самоидентификации. Для этого Microsoft предоставляет сценарий Add-TPMSelfWriteACE.vbs.

Резервное копирование данных восстановления BitLocker и TPM в AD DS
http://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx

После этого вы также можете сделать резервную копию информации в Active Directory. Это иногда полезно для компьютеров, которые подkeyены к домену:

 manage-bde -protectors -get c: 

(введите идентификатор numbers)

 manage-bde -protectors -adbackup c: -id {<guid>} 
  • Разрешения fileа Windows не применяются к существующим fileам
  • Обновление Windows 8.1 / 2012 1 и WSUS
  • Отkeyение драйвера протокола LLDP Microsoft с использованием групповой политики
  • Не удалось подkeyиться к 64-битным клиентам Windows 8.1 Pro в домене Windows Sever 2003
  • Клиенты DirectAccess не могут просматривать сетевые ресурсы, но могут обращаться к ним через сопоставленный диск
  • Диски, подkeyенные к Windows 8.1 / 10 GPO, не будут подkeyаться
  • Получение ошибки 12206 «Цепь цепи proxy» при подkeyении к IP из локальной подсети
  • Групповая политика в Win8.1 в среде WAN не будет полностью применяться
  • Нет сообщения «заблокировано для редактирования» для fileа excel на сетевом ресурсе
  • Для диска, отformatированного с помощью ReFS, с зеркалом, будет ли он самолечить, если есть плохой сектор?
  • Имена Netbios должны разрешать «-» и «.», Но в моей локальной сети имя samba netbios, похоже, с ними по-разному относятся?
  • Interesting Posts

    Распаковка журнала из-за нувориша

    Сервер NFS + клиент: рекомендуемое упрочнение / заключительные штрихи

    подчиненное приложение и разрешения fileа виртуального directoryа

    Зачем делать произвольный file для loopback-устройства для зашифрованной fileовой системы?

    Обратные proxy и AJAX

    Отказоустойчивые пересылки IP-пакетов с портом от одного serverа к другому

    Git для управления машинами конкретных сценариев и timerов: ОК или плохая идея?

    Настройка Phusion Passenger PassengerPreStart не активируется с использованием сервиса httpd start

    .htaccess не работает внутри брандмауэра или proxy-serverа

    Использование дискового пространства Hyper-V для виртуальной машины

    ПК Windows 7 не может viewеть некоторые локальные ПК, но может обращаться к ним по пути

    ASA 5505 не может добавить его для переkeyения с VLAN

    Ошибка аутентификации, если учетная запись пользователя не заблокирована в AD

    Заменить certificate, используя Plesk 11

    Внесите изменения в fileы конфигурации на нескольких serverах с помощью SSH

    Давайте будем гением компьютера.