Моя организация использует AD DS по схеме Server 2008 R2. Я знаю, это уже плохое начало, но давайте представим, что это невозможно изменить. В нашей политике домена по умолчанию у нас есть следующий параметр включен для запроса резервной копии AD хэшей значений авторизации владельца TPM:
Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services
В результате, когда я пытаюсь зашифровать компьютер с Windows 8 Enterprise с привязкой к AD с помощью BitLocker, он терпит неудачу, потому что Windows 8 пытается сохранить хэш авторизации TPM как дочерний объект (с типом ms-TPM-OwnershipInformation) компьютерного объекта, а схема Server 2008 R2 требует хранить эту информацию как атрибут (в частности, msTPM-OwnerInformation) компьютерного объекта. Это прекрасно и красиво - на самом деле, это ясно задокументировано в статье TechNet что такое поведение является преднамеренным, и решение заключается в обновлении схемы до Server 2012. Прохладно.
Меня беспокоит то, что когда я пытаюсь зашифровать компьютер с Windows 8.1 Enterprise, привязанный к AD, это удается при тех же обстоятельствах. Однако, несмотря на то, что параметр политики требует резервного копирования TPM, этого просто не происходит - он не сохраняется в атрибуте компьютера и не создается как дочерний объект для компьютера.
Мне не удалось найти никакой документации, которая указывала бы на то, что Windows 8.1 ведет себя иначе, чем Windows 8 в этом вопросе. Поскольку дата окончания основной поддержки для Server 2008 R2 не раньше 13.01.14, я бы не ожидал, что Microsoft намеренно реализовала то, что я описал. Может ли это быть непреднамеренным поведением? Если да, то как лучше всего решить этот вопрос с Microsoft?
Вы шифруете Windows 8, поэтому схема 2008r2 делает необходимо расширить для поддержки расширений 2012 для TPM.
Информация, опубликованная Грегом, предназначена для Windows 7 и сервера 2008r2, который не нужно обновление схемы.
Вы путаете две разные настройки.
Чтобы предотвратить шифрование BitLocker, если информация не скопирована в Active Directory, необходимо включить следующий параметр групповой политики:
Компьютер> Политики> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы
«Не включайте BitLocker, пока информация для восстановления не будет сохранена в AD DS для дисков операционной системы»
Чтобы включить восстановление TPM, вам не нужно обновлять схему. Вам необходимо включить доступ на запись к атрибуту ms-TPM-OwnershipInformation для удостоверения личности. Microsoft предоставляет для этого сценарий Add-TPMSelfWriteACE.vbs.
Резервное копирование данных восстановления BitLocker и TPM в AD DS
http://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
Вы также можете сделать резервную копию информации в Active Directory после этого. Иногда это полезно для компьютеров, которые повторно присоединены к домену:
manage-bde -protectors -get c:
(получите числовой идентификатор пароля)
manage-bde -protectors -adbackup c: -id {<guid>}