Я пытаюсь использовать GP для хранения информации TPM в AD. Я проверил, что схема содержит правильное свойство объекта, и убедился, что свойство и ACE присутствуют на данном компьютерном объекте.
Я заметил, что с последней версией ADMX кажется, что Require TPM back to AD DS отсутствует в GP Turn on TPM backup to Active Directory Domain Services, заменено заявлением:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Я использую оба dsa.msc's Attribute Editor, adsiedit.msc и сценарий Get-TPMOwnerInfo.vbs чтобы проверить наличие данных, после сброса пароля TPM без везения.
Почему я не могу хранить информацию TPM в AD?
[Обновления относительно комментариев]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Как указано в документация, после прохождения терапевта (Turn on TPM backup to Active Directory Domain Services) применительно к клиентскому компьютеру:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
На данный момент я не уверен, где можно увидеть связанные с ошибками ... кроме того, что я не вижу обновленную информацию TPM, хранящуюся в msTPM-OwnerInformation атрибут компьютерного объекта. Чтобы было ясно, проблема в том, что информация TPM не хранится в AD, и я хотел бы, чтобы она сохранялась в AD.
What operating system(s) are running on the machine(s) with the TPM(s)?
Я использую Windows 8.1, но буду ориентироваться как на Windows 8.1, так и на Windows 7.
[Дополнительная информация]
Обратите внимание, что в Справочник по параметрам групповой политикиследующие разделы реестра отражают приложение GP:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Я выполнил следующее:
SELF с Write msTPM-OwnerInformation набор разрешений на объекте компьютера в AD.msTPM-OwnerInformationОказывается, что функция сохранения информации TPM в AD (или попытка сохранения информации TPM в AD) происходит только тогда, когда вы изменение пароль. Я не менял пароль, но использовал тот же пароль.
Из-за того, что наша схема AD, к сожалению, является суперпуперской старой школой [выглядит как server 2008 SP1, а не даже R2], я использовал BitLockerTPMSchemaExtension.ldf (доступный Вот), чтобы расширить схему, включив в нее свойства:
(само собой разумеется, и стоит отметить, что msTPM-OwnerInformation уже присутствовал)
Итак, ожидая, что это сработает без проблем, я фактически приступил к изменение пароль TPM и сразу получил код ошибки There is no such object on the server (error code: 0x80072030). с конкретной ошибкой Cannot change TPM owner password.
Очень просто, msTPM-OwnerInformation атрибут используется в Windows 7 и более ранних версиях, но в Windows 8+ (которым был мой тестовый бокс) используется msTPM-TPMInformationForComputer как обсуждается более подробно в эта ветка MSFT TechNet.
Чтобы решить эту проблему, выполните документация MSFT, расширяя схему AD с помощью TpmSchemaExtension.ldf и TpmSchemaExtensionACLChanges.ldf.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .