Windows 8.1 Владение TPM на схеме R2 Сервера 2008 года - не к спецификации?
Моя организация выполняет AD DS на схеме R2 Сервера 2008 года. Уже плохой запуск, я знаю, но давайте притворимся, что это невозможно изменить. В нашей доменной политике по умолчанию нам позволили следующей установке требовать AD резервного копирования хешей значения авторизации владельца TPM:
Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services
В результате, когда я пытаюсь зашифровать ограниченную AD машину Предприятия Windows 8 с BitLocker, это перестало работать, потому что Windows 8 пытается сохранить хеш авторизации TPM как дочерний объект (с типом ms-TPM-OwnershipInformation) компьютерного объекта, в то время как схема R2 Сервера 2008 года требует хранить эту информацию как атрибут (а именно, msTPM-OwnerInformation) компьютерного объекта. Это прекрасно подходит и денди - на самом деле, это ясно документируется в статью TechNet, что это поведение является намеренным, и решение состоит в том, чтобы обновить к схеме Сервера 2012 года.Круто.
Бит, который касается меня, - то, что, когда я пытаюсь зашифровать ограниченную AD машину Предприятия Windows 8.1, она успешно выполняется при этих тех же обстоятельствах. Однако несмотря на установку политики, требующую резервного копирования TPM, это просто не происходит - это ни не хранится в компьютерном атрибуте, и при этом это не создается как дочерний объект к компьютеру.
Я не смог найти любую документацию, которая указала бы, что Windows 8.1 ведет себя по-другому по сравнению с Windows 8 по этому вопросу. Как основная дата окончания поддержки Сервера 2 008 R2, только в 13.01.14, я не ожидал бы, Microsoft намеренно реализовала то, что я описал. Это могло бы затем быть непреднамеренным поведением? Если так, как одно лучшее могло бы обратиться к вопросу с Microsoft?
Вы путаете две разные настройки.
Чтобы предотвратить шифрование BitLocker'а, если информация не резервируется в Active Directory, вам нужно включить следующий параметр групповой политики:
Компьютер > Политики > Административные шаблоны > Компоненты Windows > Шифрование дисков BitLocker > Жесткие диски операционной системы
"Не включайте BitLocker до тех пор, пока информация о восстановлении не будет храниться в AD DS для дисков операционной системы"
Чтобы включить TPM Recovery, нет необходимости обновлять схему. Для идентификации личности Self необходимо включить доступ в режиме записи к атрибуту ms-TPM-OwnershipInformation. Microsoft предоставляет для этого скрипт Add-TPMSelfWriteACE.vbs.
Резервное копирование информации о BitLocker и TPM Recovery Information в AD DS
http://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
После этого вы также можете создать резервную копию информации в Active Directory. Это иногда полезно для компьютеров, которые повторно подключены к домену:
manage-bde -protectors -get c:
(получить Numerical Password ID)
manage-bde -protectors -adbackup c: -id {<guid>}
Вы шифруете Windows 8, поэтому схема 2008r2 действительно нуждается в расширении для поддержки расширений 2012 для TPM.
Информация, опубликованная Грегом, предназначена для Windows 7 и сервера 2008r2, который не требует обновления схемы.