Khóa khôi phục Bitlocker không hiển thị trong bộ thư mục hoạt động

Gần đây tôi đã hỏi câu hỏi tương tự ở đây khoảng một tháng trước -> Khóa khôi phục BitLocker không hiển thị trong Active Directory

Nhưng bây giờ mọi thứ đã thay đổi và tôi vẫn nhận được kết quả tương tự. Tôi sẽ đi vào chi tiết nhất có thể cho bài đăng này vì vậy tôi không phải viết thêm bất kỳ bài đăng nào nữa (hy vọng vậy).

Ok, vì vậy chúng tôi cần lưu trữ các khóa này trên AD để đáp ứng các yêu cầu của DoD và tôi đã viết một chút về Java để tìm hiểu xem chúng tôi có bao nhiêu khóa. Sau khi chạy Java của tôi, chúng tôi có 97 trong số 230 máy tính có khóa được lưu trữ trong AD.

Tôi đã tạo chính sách nhóm cho bitlocker và đặt tên là "GP - Bitlocker"

Các cài đặt đầu tiên tôi đã thay đổi nằm trong thư mục này: Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Cấu phần Windows -> Mã hóa Bitlocker Drive

"Lưu trữ thông tin khôi phục bitlocker trong dịch vụ miền thư mục hoạt động"

"Chọn phương thức mã hóa ổ đĩa và độ mạnh mật mã (Windows 8 / Server 2012)"

"Chọn phương pháp mã hóa ổ đĩa và độ mạnh mật mã (Windows 10)"

"Chọn phương pháp mã hóa ổ đĩa và độ mạnh mật mã (Windows Server 2008, Windows 7)"

Ngoài ra, tôi đã thay đổi cài đặt trong ../Ổ đĩa hệ điều hành (.. là thư mục trước đó)

"Yêu cầu xác thực bổ sung khi khởi động"

"Thực thi loại mã hóa ổ đĩa trên ổ đĩa hệ điều hành"

"Chọn cách khôi phục ổ đĩa hệ điều hành được bảo vệ bởi BitLocker"

Đối với nơi chính sách nhóm được liên kết, nó được lưu trữ trong một thư mục có tất cả các chính sách nhóm khác của tôi mà chúng tôi có trên miền của mình có tên là "Đối tượng chính sách nhóm". Nó được liên kết với tất cả các đơn vị tổ chức mà chúng tôi muốn bật GP nhưng chúng tôi đã tắt nó đi vì nó không hoạt động và chúng tôi chỉ muốn chạy thử nghiệm trên một số máy tính hạn chế.

Hiện tại, "GP - Bitlocker" được liên kết với 2 đơn vị tổ chức, "Test_Environment" và "Không xác định." Không biết là một đơn vị tổ chức có máy tính của người thật trên miền của chúng tôi với một bộ phận không xác định và test_environment chỉ là những máy tính tạm thời mà chúng tôi sử dụng để kiểm tra GP.

"Không xác định" có 4/16 máy tính có khóa được lưu trữ và test_enivronment có 1/4 máy tính có khóa được lưu trữ.

Phạm vi của chúng tôi cho GP

Ngay bây giờ, điều chúng tôi đang nghĩ là vì nhiều nhân viên của chúng tôi không thường xuyên kết nối với VPN hoặc thậm chí đăng nhập vào máy tính của họ, nên họ không thể nhận được bản cập nhật GP. Chúng tôi là một công ty xây dựng và do đó, chúng tôi có nhiều người làm việc trong lĩnh vực này hàng tháng liền và không sử dụng máy tính của họ. Tuy nhiên, tôi nghĩ 97 nên vào khoảng 180 hoặc hơn để chính xác đối với những người có máy tính trong lĩnh vực này. Nếu tôi thiếu bất kỳ thông tin nào, vui lòng cho tôi biết và tôi sẽ sẵn lòng điền vào các khoảng trống.

Nick, khi bạn đặt câu hỏi đầu tiên, cài đặt của bạn cho mật khẩu khôi phục (phím 48 chữ số xuất hiện trong đối tượng máy tính AD trên tab khôi phục bitlocker) là: "Không cho phép mật khẩu khôi phục 48 chữ số"

Bây giờ bạn đã thay đổi điều đó để yêu cầu mật khẩu khôi phục. Tuy nhiên, vì các hệ thống này đã được mã hóa nên những mật khẩu này sẽ không bao giờ được lưu vào AD (vì chúng chỉ được lưu tại thời điểm mã hóa chứ KHÔNG phải sau đó), trừ khi bạn tạo chúng theo cách thủ công.Điều đó nên được thực hiện bằng cách sử dụng tập lệnh mà bạn triển khai dưới dạng tác vụ theo lịch trình ngay lập tức, ví dụ mã lô cho ổ đĩa c::

for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b