想達到透過GPO將AD所屬的PC進行Bitlocker加密,並且將Key留存於AD上
在GPO的項目裡面遲遲找不到相關的啟動選項,目前的設定選項如下
但是還是不會自動啟動加密功能,將上述兩張圖片詢問Gemini得到的回答是不是從這邊設定
要找到一條叫做 "需要 BitLocker 在作業系統磁碟機上啟動" 但怎找就是沒這條
後來改產生Powershell腳本放在GPO的啟動執行,還是失敗!
結果是 C沒加密,D卻加密成功,Key也有順利回傳AD
請問有什麼方法可以同時達到所需要的結果嗎?
已邀請的邦友 {{ invite_list.length }}/5
作業系統的磁區,要啟動bitlocker加密會需要重啟系統
他要自動化就會影響使用者,所以再給使用者電腦之前就要先做好加密
你的指令如果是叫AI寫的,建議你先停下,你先從GPO+圖形介面去操作
等到操作的流程都穩定之後,再去考慮自動化,AI還沒聰明到能介入這種複雜度的流程
1.GPO能控制啟動bitlocker的加密類型,包含能不能備份金鑰到AD上
2.GPO不能控制何時啟動bitlocker加密,這個部分要手動或者程式去跑
3.作業系統靠TPM解鎖,其他磁區靠作業系統磁碟連動解鎖
額外可能還需要處理的是,4.誰能看到AD上的復原金鑰?(預設只有網域管理員看的到)
你的程式碼只有寫啟動+復原金鑰,沒有給TPM的參數的話,系統應該會提示無法啟用
至少我沒這樣開啟來過,印象之前研究的結果作業系統低標要求是TPM的樣子
可以TPM+復原金鑰,TPM+Pin碼+復原金鑰,TPM+憑證+復原金鑰,就是一定要有TPM
iThome鐵人賽
看影片追技術