Bitlocker aktivieren und Laufwerker verschlüsseln per GPO
2016er Domäne, GPO für die Bitlocker Aktivierung wurde angelegt (kein PIN, Nutzung TPM, Key in AD schreiben)
Bei drei frisch aufgesetzten Lenovos funktioniert alles einwandfrei (Bitlocker ist aktiviert, ohne GPO wartet es auf Verschlüsselung, mit GPO wird verschlüsselt).
Bei den anderen bereits installierten Rechnern passiert gar nichts.
Dort ist Bitlocker deaktiviert und man kann nur manuell die Verschlüsselung starten, was zur Folge hat, das laut manage-BDE der Key nur im TPM ist.
Laut Ereignislog konnte das TPM den Befehl nicht ausführen. paar Sekunden davor ist Meldung das TPM bereit ist.
Habs auch schon mit Scripten beim Start oder Herunterfahren probiert oder per Aufgabenplanung mit/ohne Verzögerung nach bestimmter Zeit mit einen Script (Powershell und Batch) und System Rechten probiert, ohne Erfolg.
Wenn ich die Scripte per Admin CMD ausführe funktioniert wenigstens die Verschlüsselung und das speichern im AD.
Ich weiss leider nicht wie die anderen Rechner aufgesetzt wurden (Ticketsystem und Doku brauchte es vor mir für 30 User nicht), ich vermute über ein Standardimage da knapp 30 Rechner in einen Tag fertig. Alle Rechner sind gerade mal ein Jahr alt und eigentlich jünger als die neu aufgesetzten.
Hab Tante Google gefragt und ChatGPT.... aber finde wohl nichts.
Kann mich düster dran erinnern das es bereits bei Win10 eine schlechte Idee war bei einen bereits verschlüsselten Gerät die Verschlüsselung zu deaktivieren und dieses dann als Image für andere Rechner zu verwenden.
Weiss jemand eine Lösung wie man Bitlocker zwar wieder auf "aktiv" setzt aber noch nicht verschlüsselt (wie nach eine Standard Installation) oder wenigstens wie ich es per Script gestalten könnte ohne das ich dieses bei ein paar Rechnern manuell ausführen muss (ich vermute das es die Berechtigung von System ist, aber eine höhere viel mir nicht ein).
fehlen sicher zu viele Infos...aber ist Freitag :D
Bei drei frisch aufgesetzten Lenovos funktioniert alles einwandfrei (Bitlocker ist aktiviert, ohne GPO wartet es auf Verschlüsselung, mit GPO wird verschlüsselt).
Bei den anderen bereits installierten Rechnern passiert gar nichts.
Dort ist Bitlocker deaktiviert und man kann nur manuell die Verschlüsselung starten, was zur Folge hat, das laut manage-BDE der Key nur im TPM ist.
Laut Ereignislog konnte das TPM den Befehl nicht ausführen. paar Sekunden davor ist Meldung das TPM bereit ist.
Habs auch schon mit Scripten beim Start oder Herunterfahren probiert oder per Aufgabenplanung mit/ohne Verzögerung nach bestimmter Zeit mit einen Script (Powershell und Batch) und System Rechten probiert, ohne Erfolg.
Wenn ich die Scripte per Admin CMD ausführe funktioniert wenigstens die Verschlüsselung und das speichern im AD.
Ich weiss leider nicht wie die anderen Rechner aufgesetzt wurden (Ticketsystem und Doku brauchte es vor mir für 30 User nicht), ich vermute über ein Standardimage da knapp 30 Rechner in einen Tag fertig. Alle Rechner sind gerade mal ein Jahr alt und eigentlich jünger als die neu aufgesetzten.
Hab Tante Google gefragt und ChatGPT.... aber finde wohl nichts.
Kann mich düster dran erinnern das es bereits bei Win10 eine schlechte Idee war bei einen bereits verschlüsselten Gerät die Verschlüsselung zu deaktivieren und dieses dann als Image für andere Rechner zu verwenden.
Weiss jemand eine Lösung wie man Bitlocker zwar wieder auf "aktiv" setzt aber noch nicht verschlüsselt (wie nach eine Standard Installation) oder wenigstens wie ich es per Script gestalten könnte ohne das ich dieses bei ein paar Rechnern manuell ausführen muss (ich vermute das es die Berechtigung von System ist, aber eine höhere viel mir nicht ein).
fehlen sicher zu viele Infos...aber ist Freitag :D
Please also mark the comments that contributed to the solution of the article
Content-ID: 82079453840
Url: https://administrator.de/contentid/82079453840
Printed on: October 13, 2024 at 10:10 o'clock
8 Comments
Latest comment