Я пытаюсь использовать GP для хранения информации TPM в AD. Я проверил, что схема содержит надлежащее свойство объекта и проверила, что свойство и ACE присутствуют на данном компьютерном объекте.
Я действительно замечал, что с последним ADMX, это появляется это Require TPM back to AD DS
отсутствует в GP Turn on TPM backup to Active Directory Domain Services
, замененный оператором:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Я использую обоих dsa.msc's Attribute Editor
, adsiedit.msc
и сценарий Get-TPMOwnerInfo.vbs
проверять присутствие данных, после изменения пароля TPM, без удачи.
Почему я не могу сохранить информацию TPM в AD?
[Ре обновлений: комментарии]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Как указано в документации, после наличия GP (Turn on TPM backup to Active Directory Domain Services
) относившийся клиентский компьютер:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
Я не уверен в этой точке, где видеть ошибки, связанные... кроме, я не вижу, что обновленная информация TPM сохранила в msTPM-OwnerInformation
атрибут компьютерного объекта. Чтобы быть ясной, проблема - то, что информация TPM не хранится в AD, и я хотел бы сохранить его в AD.
What operating system(s) are running on the machine(s) with the TPM(s)?
Я запускаю Windows 8.1, но буду нацелен на и Windows 8.1 и для Windows 7.
[дополнительная информация]
Обратите внимание, что в Ссылке Настроек Групповой политики, следующие ключи реестра отражают приложение GP:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Я выполнил следующее:
SELF
с Write msTPM-OwnerInformation
набор полномочий на компьютере возражает в AD.msTPM-OwnerInformation
Оказывается, функция сохранения информации TPM в AD (или попытка сохранения информации TPM в AD) происходит только тогда, когда вы меняете пароль . Я не менял пароль, но использовал тот же самый пароль.
Из-за того, что наша схема AD, к сожалению, является супер-пуперской старой школой [выглядит как server 2008 SP1, даже не R2], я использовал BitLockerTPMSchemaExtension.ldf
(доступно здесь ), чтобы расширить схему и включить в нее свойства:
(предоставлено и стоит отметить, что msTPM-OwnerInformation
уже присутствует)
Итак, ожидая, что это сработает без проблем, я приступил к фактическому изменению пароль TPM и сразу получил код ошибки На сервере нет такого объекта (код ошибки: 0x80072030).
с конкретной ошибкой Невозможно изменить пароль владельца TPM.
Проще говоря, атрибут msTPM-OwnerInformation
используется в Windows 7 и более ранних версиях, но в Windows 8+ (которым был мой тестовый блок), использует msTPM-TPMInformationForComputer
, как более подробно обсуждается в этой ветке MSFT TechNet .
Чтобы решить эту проблему, следуйте документации MSFT , расширяя схему AD с помощью TpmSchemaExtension.ldf
и TpmSchemaExtensionACLChanges.ldf
.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .