Не может хранить информацию TPM в AD
Я пытаюсь использовать GP для хранения информации TPM в AD. Я проверил, что схема содержит надлежащее свойство объекта и проверила, что свойство и ACE присутствуют на данном компьютерном объекте.
Я действительно замечал, что с последним ADMX, это появляется это Require TPM back to AD DS отсутствует в GP Turn on TPM backup to Active Directory Domain Services, замененный оператором:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Я использую обоих dsa.msc's Attribute Editor, adsiedit.msc и сценарий Get-TPMOwnerInfo.vbs проверять присутствие данных, после изменения пароля TPM, без удачи.
Почему я не могу сохранить информацию TPM в AD?
[Ре обновлений: комментарии]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Как указано в документации, после наличия GP (Turn on TPM backup to Active Directory Domain Services) относившийся клиентский компьютер:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
Я не уверен в этой точке, где видеть ошибки, связанные... кроме, я не вижу, что обновленная информация TPM сохранила в msTPM-OwnerInformation атрибут компьютерного объекта. Чтобы быть ясной, проблема - то, что информация TPM не хранится в AD, и я хотел бы сохранить его в AD.
What operating system(s) are running on the machine(s) with the TPM(s)?
Я запускаю Windows 8.1, но буду нацелен на и Windows 8.1 и для Windows 7.
[дополнительная информация]
Обратите внимание, что в Ссылке Настроек Групповой политики, следующие ключи реестра отражают приложение GP:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Я выполнил следующее:
- проверьте, что существует ACE для
SELFсWrite msTPM-OwnerInformationнабор полномочий на компьютере возражает в AD. - эти значения реестра установлены как ожидалось на клиенте
- Я затем использую tpm.msc для изменения пароля
- Нет никакого значения, установлен для
msTPM-OwnerInformation
Оказывается, функция сохранения информации TPM в AD (или попытка сохранения информации TPM в AD) происходит только тогда, когда вы меняете пароль . Я не менял пароль, но использовал тот же самый пароль.
Из-за того, что наша схема AD, к сожалению, является супер-пуперской старой школой [выглядит как server 2008 SP1, даже не R2], я использовал BitLockerTPMSchemaExtension.ldf (доступно здесь ), чтобы расширить схему и включить в нее свойства:
- msTPM-OwnerInformation
- msFVE-RecoveryGuid
- msFVE-RecoveryPassword
- msFVE-RecoveryInformation
- msFVE -VolumeGuid
- msFVE-KeyPackage
(предоставлено и стоит отметить, что msTPM-OwnerInformation уже присутствует)
Итак, ожидая, что это сработает без проблем, я приступил к фактическому изменению пароль TPM и сразу получил код ошибки На сервере нет такого объекта (код ошибки: 0x80072030). с конкретной ошибкой Невозможно изменить пароль владельца TPM.
Проще говоря, атрибут msTPM-OwnerInformation используется в Windows 7 и более ранних версиях, но в Windows 8+ (которым был мой тестовый блок), использует msTPM-TPMInformationForComputer , как более подробно обсуждается в этой ветке MSFT TechNet .
Чтобы решить эту проблему, следуйте документации MSFT , расширяя схему AD с помощью TpmSchemaExtension.ldf и TpmSchemaExtensionACLChanges.ldf .
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .