Bitlocker über Anmeldeskript GPO aktivieren bei Win 10 Clients
Hallo,
ich habe zum o.g. Thema viel gelesen, aber leider keine Lösung gefunden. Ich möchte in einer kleineren Umgebung Bitlocker automatisch per GPO an den Clients aktivieren. Hierzu wollt ich über die Computerkonfigruation per GPO ein Anmeldeskript ausführen.
Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.
Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion
Clients: Windows 10 Pro
Server: Windows 2016 (Ausführungsebene 2012 R2)
Anmeldescript: manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Falls es per Anmeldescript nicht geht oder eine Alterntive gibt, wäre ich um Tipps sehr dankbar. Vieleicht gibt es auch einen besseren
Weg.
Von einer Installation von MABA 2.5 möchte ich Abstand nehmen, da es zu oversized wäre.
Fehlermeldung:
BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:
Numerisches Kennwort:
ID: *
Kennwort:
***
FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.
HINWEIS: Wenn es nicht m”glich war, ber den Parameter "-on" Schlsselschutzvorrichtungen hinzuzufgen oder die Verschlsselung zu starten,
mssen Sie m”glicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.
ich habe zum o.g. Thema viel gelesen, aber leider keine Lösung gefunden. Ich möchte in einer kleineren Umgebung Bitlocker automatisch per GPO an den Clients aktivieren. Hierzu wollt ich über die Computerkonfigruation per GPO ein Anmeldeskript ausführen.
Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.
Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion
Clients: Windows 10 Pro
Server: Windows 2016 (Ausführungsebene 2012 R2)
Anmeldescript: manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Falls es per Anmeldescript nicht geht oder eine Alterntive gibt, wäre ich um Tipps sehr dankbar. Vieleicht gibt es auch einen besseren
Weg.
Von einer Installation von MABA 2.5 möchte ich Abstand nehmen, da es zu oversized wäre.
Fehlermeldung:
BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:
Numerisches Kennwort:
ID: *
Kennwort:
***
FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.
HINWEIS: Wenn es nicht m”glich war, ber den Parameter "-on" Schlsselschutzvorrichtungen hinzuzufgen oder die Verschlsselung zu starten,
mssen Sie m”glicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381720
Url: https://administrator.de/contentid/381720
Ausgedruckt am: 13.11.2024 um 10:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo @derLenhart
Hilft dir das? https://ntsystems.it/post/tpm-bitlocker-schlussel-in-ad-ds-speichern
Oder von Mark Heitbrink:
https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-s ...
Grüße,
@IT-Pro
Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.
Hilft dir das? https://ntsystems.it/post/tpm-bitlocker-schlussel-in-ad-ds-speichern
Oder von Mark Heitbrink:
https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-s ...
Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion
Verschlüsselungsaktion
Grüße,
@IT-Pro
So so. Du hast also die Ausgabe des Startskripts umgelenkt und erhältst dort "Dem Client fehlt ein erforderliches Recht"...
Lade mal psexec runter und starte bitte eine Kommandozeile elevated und führe dort aus psexec aus:
psexec -s -i cmd
Auf der sich nachfolgend öffnenden Kommandozeile handelst Du als Systemkonto. Führe dort dann dein Startskript aus und schau Dir die Ausgabe an und zitiere diese.
Lade mal psexec runter und starte bitte eine Kommandozeile elevated und führe dort aus psexec aus:
psexec -s -i cmd
Auf der sich nachfolgend öffnenden Kommandozeile handelst Du als Systemkonto. Führe dort dann dein Startskript aus und schau Dir die Ausgabe an und zitiere diese.