6
Bitlocker in der Domäne ohne TPM
Hallo,
ich habe Domäne auf einem Windows Server 2016 Standard. In der Domäne sind sind normale Desktop PC's, neue und alte Laptops und Virtuelle Maschinen, mit und Ohne TPM-Chip.
Die Geräte ohne TPM über wiegen leider. Und können kurzfirstig auch nicht alle ersetzt werden.
Über GPMC.msc habe ich im Domaincontroller eine Gruppenrichtlinie in der Domäne für die Greäte ohne TPM-Chip erstellt, und trotzdem kann ich auf den PC's ohne TPM kein Bitlocker aktivieren.
ich habe jetzt folgende Richtlinien aktiviert und richtig konfiguriert:
Zusätzliche Authentifizierung beim Start anfordern
Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 R2, Vista...)
PIN oder Kennworänderung durch Standardbenutzer nicht zulassen
TPM-Plattformvalidierungsprofil konfigurieren...
TPM-Plattformvalidierungsprofil für systemeigene UEFI-Fiumware....
Was muss ich noch tun? Wo liegt mein Fehler? Oder brauche ich da wirklich alle Richtlinien?
mfg Oliver
ich habe Domäne auf einem Windows Server 2016 Standard. In der Domäne sind sind normale Desktop PC's, neue und alte Laptops und Virtuelle Maschinen, mit und Ohne TPM-Chip.
Die Geräte ohne TPM über wiegen leider. Und können kurzfirstig auch nicht alle ersetzt werden.
Über GPMC.msc habe ich im Domaincontroller eine Gruppenrichtlinie in der Domäne für die Greäte ohne TPM-Chip erstellt, und trotzdem kann ich auf den PC's ohne TPM kein Bitlocker aktivieren.
ich habe jetzt folgende Richtlinien aktiviert und richtig konfiguriert:
Zusätzliche Authentifizierung beim Start anfordern
Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 R2, Vista...)
PIN oder Kennworänderung durch Standardbenutzer nicht zulassen
TPM-Plattformvalidierungsprofil konfigurieren...
TPM-Plattformvalidierungsprofil für systemeigene UEFI-Fiumware....
Was muss ich noch tun? Wo liegt mein Fehler? Oder brauche ich da wirklich alle Richtlinien?
mfg Oliver
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390352
Url: https://administrator.de/forum/bitlocker-in-der-domaene-ohne-tpm-390352.html
Ausgedruckt am: 15.03.2025 um 07:03 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
hast Du die Anleitung von Frank gelesen?
Und den Erfahrungsbericht von DerWoWusste
Vielleicht hilft Dir das weiter.
Gruss Penny.
hast Du die Anleitung von Frank gelesen?
Und den Erfahrungsbericht von DerWoWusste
Vielleicht hilft Dir das weiter.
Gruss Penny.
Hallo,
ich bin nach dieser Anleitung mal vor gegangen:
https://www.der-windows-papst.de/wp-content/uploads/2017/11/Windows-Bitl ...
LG
ich bin nach dieser Anleitung mal vor gegangen:
https://www.der-windows-papst.de/wp-content/uploads/2017/11/Windows-Bitl ...
LG
1
hallo Oliver,
ich habe zwar einen Windows 2012 R2 Server und dementsprechend vielleicht eine etwas andere GPO. Clients sind bei mir ausschließlich Windows 10.
Ich habe folgende GPO Einstellungen vorgenommen:
"Zusätzliche Authentifizierung beim Start anfordern" -> Aktivieren!
Setze einen Haken bei "BitLocker ohne kompatibles TPM zulassen"
Wähle unter "TPM-Systemstartschlüssel konfigurieren:" "Systemstartschlüssel bei TPM nicht zulassen"
Wähle unter "TPM-Systemstart-Pin konfigurieren:" "Systemstart-Pin bei TPM nicht zulassen" -> Übernehmen -> OK
Ansonsten habe ich es wie in Franks Anleitung konfiguriert.
Potshock
ich habe zwar einen Windows 2012 R2 Server und dementsprechend vielleicht eine etwas andere GPO. Clients sind bei mir ausschließlich Windows 10.
Ich habe folgende GPO Einstellungen vorgenommen:
"Zusätzliche Authentifizierung beim Start anfordern" -> Aktivieren!
Setze einen Haken bei "BitLocker ohne kompatibles TPM zulassen"
Wähle unter "TPM-Systemstartschlüssel konfigurieren:" "Systemstartschlüssel bei TPM nicht zulassen"
Wähle unter "TPM-Systemstart-Pin konfigurieren:" "Systemstart-Pin bei TPM nicht zulassen" -> Übernehmen -> OK
Ansonsten habe ich es wie in Franks Anleitung konfiguriert.
Potshock
ich habe soben postshock Tips noch mal getestet, und morgen früh werde deine (MarkBeaker) Anleitung noch mal druch arbeiten und dann berichten.
Danke für alle eure Tips.
Danke für alle eure Tips.
Hi.
"Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 R2, Win7 und höher)" - nur die, sonst nichts. Die selbe Policy gibt es für Vista/2008 - die nicht.
"Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 R2, Win7 und höher)" - nur die, sonst nichts. Die selbe Policy gibt es für Vista/2008 - die nicht.
Ich habe die Erwänte Lösung durch gearbeitet, ich denke das sollte es sein. dann haben sich die GPO's nicht mit GPUpdate /force nicht updaten lassen. Da Domäne fehler hat. Ein Neustart des DC liegt nicht allein in meiner Hand. da ich nur ein Dienstleister bin. vielen Dank euch.
