Оптимизация управления битлокерами в вашей среде была бы рассмотрением многодисциплинарный подход.

Групповая политика

Настройте групповую политику на автоматическое резервное копирование ключа восстановления в активный каталог и не шифрование компьютера, если ключ восстановления не хранится в AD. Кроме того, если пользователи будут шифровать свои собственные машины, отключите запрос ПИН-кода и паролей, если вы не используете их в своей среде.

Развертывание

Создайте план для шифрования машин, которые уже находятся в среде, а не новых построил рабочие места. Новые рабочие станции, как правило, проще, поскольку битлокеру требуется, чтобы на рабочей станции существовал системный раздел для хранения его загрузчика. В зависимости от вашего процесса создания образа это может существовать или не существовать на ваших текущих рабочих станциях, и если бы не отдельный шаг , чтобы подготовить жесткий диск для битлокера , пришлось бы выполнить отдельный шаг, но в данный момент команда ускользает от меня. Графический интерфейс сделает это автоматически и потребует перезагрузки перед продолжением, я должен предположить, что командная строка такая же. manage-bde также можно использовать для резервного копирования восстановления машин, которые уже были зашифрованы , как это было до внедрения вашей групповой политики, в активный каталог. Конечно, вы также должны учитывать включение и активацию микросхемы TPM, когда говорите об автоматическом развертывании битлокера.

Техническое обслуживание / Аварийное восстановление

Резервное копирование ключей восстановления в Active Directory - это нормально, но оно исчезает, когда учетная запись компьютера сдулся. Ничего страшного, если машина была утилизирована, но это могло бы стать серьезной проблемой, если бы это был просто портативный компьютер, который какое-то время был отключен от сети и подвергся сценарию очистки AD. Powershell можно использовать для получения резервных ключей из активного каталога, если вы хотите об этом подумать.

Как уже говорилось, вы не можете запустить шифрование блокировщика непосредственно из активного каталога.

На портативных компьютерах можно использовать запланированное задание, которое можно развернуть с помощью групповой политики предпочтения - чтобы запустить процесс шифрования и передать требуемые параметры.

Вам по-прежнему нужны параметры групповой политики для централизованного управления ключами восстановления. Я запускал подобные запланированные операции до того, как у меня была принята политика ключа восстановления, и я заблокировался. Не весело. Групповая политика гарантирует, что задание со сценарием соответствует тем же требованиям, что и запуск через графический интерфейс.