derlenhart
Goto Top

Bitlocker über Anmeldeskript GPO aktivieren bei Win 10 Clients

Hallo,

ich habe zum o.g. Thema viel gelesen, aber leider keine Lösung gefunden. Ich möchte in einer kleineren Umgebung Bitlocker automatisch per GPO an den Clients aktivieren. Hierzu wollt ich über die Computerkonfigruation per GPO ein Anmeldeskript ausführen.

Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.

Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion

Clients: Windows 10 Pro
Server: Windows 2016 (Ausführungsebene 2012 R2)
Anmeldescript: manage-bde -on C: -RecoveryPassword -SkipHardwareTest

Falls es per Anmeldescript nicht geht oder eine Alterntive gibt, wäre ich um Tipps sehr dankbar. Vieleicht gibt es auch einen besseren
Weg.

Von einer Installation von MABA 2.5 möchte ich Abstand nehmen, da es zu oversized wäre.


Fehlermeldung:

BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Windows]
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:

Numerisches Kennwort:
ID: *
Kennwort:
***

FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.

HINWEIS: Wenn es nicht m”glich war, ber den Parameter "-on" Schlsselschutzvorrichtungen hinzuzufgen oder die Verschlsselung zu starten,
mssen Sie m”glicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.
gpo

Content-ID: 381720

Url: https://administrator.de/contentid/381720

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

IT-Pro
IT-Pro 29.07.2018 um 16:54:47 Uhr
Goto Top
Hallo @derLenhart


Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.


Hilft dir das? https://ntsystems.it/post/tpm-bitlocker-schlussel-in-ad-ds-speichern


Oder von Mark Heitbrink:
https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-s ...


Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion



Grüße,
@IT-Pro
DerWoWusste
DerWoWusste 30.07.2018 um 10:24:39 Uhr
Goto Top
Hi.

Dein Fehler ist lediglich, dass Du ein Anmeldeskript für geeignet hältst. Dieses läuft mit Nutzerrechten und Nutzer können nicht das OS verschlüsseln.
Nimm ein Startskript stattdessen.
derLenhart
derLenhart 30.07.2018 um 11:45:37 Uhr
Goto Top
Hallo,

mein Fehler. Du hast recht, es ist natürlich in der Computerkonfiguration ein Startskript von mit hinterlegt worden. Genau an der Stelle habe ich es auch gemäß Anleitung eingesetzt und es wird auch gelesen/ausgeführt laut gpresult, aber Bitlocker ist nicht aktiviert.

Ich habe die Ausgabe den CMD-Befehlt in eine Log umgelenkt und da kommen dann die unzureichenden Rechte (siehe oben). Starte ich es manuell mit einem Benutzer mit Admin-Rechte, geht es sofort.

Ich habe es nicht in der Benutzerkonfiguration als Anmeldeskript hinterlegt.

Schönen Gruß
DerWoWusste
DerWoWusste 30.07.2018 um 12:53:17 Uhr
Goto Top
So so. Du hast also die Ausgabe des Startskripts umgelenkt und erhältst dort "Dem Client fehlt ein erforderliches Recht"...
Lade mal psexec runter und starte bitte eine Kommandozeile elevated und führe dort aus psexec aus:
psexec -s -i cmd
Auf der sich nachfolgend öffnenden Kommandozeile handelst Du als Systemkonto. Führe dort dann dein Startskript aus und schau Dir die Ausgabe an und zitiere diese.
derLenhart
derLenhart 31.07.2018 um 16:27:58 Uhr
Goto Top
Hallo, das passt dann so. Mit psexec -s -i cmd klappt die Aktivierung der Verschlüsselung.

Ich habe das so in das Skript nun eingebunden, dass der Befehl über psexec aufgerufen wird und die Verschlüsselung aktiviert sich auch.

psexec -accepteula -s -i manage-bde -on C: -RecoveryPassword -SkipHardwareTest

Oder hast Du einen besseren Vorschlag?

Mir hat sich nur nicht erklärt, warum es jetzt funktioniert. Liegt am Schalter -i?

Run the program so that it interacts with the desktop of the specified session on the remote system. If no session is specified the process runs in the console session.....


Danke für den Tipp!
DerWoWusste
DerWoWusste 31.07.2018 um 19:30:45 Uhr
Goto Top
Rätselhaft.
Du hast wirklich vorher ein Startskript verwendet und " "Dem Client fehlt ein erforderliches Recht"..."war die Fehlerausgabe?
derLenhart
derLenhart 02.08.2018 um 20:01:35 Uhr
Goto Top
Hi,

ich habe es heute nochmal durchgespielt. Es war so wie beschrieben.

Wenn ich es so ausführe kommt die Meldung:

manage-bde -on C: -RecoveryPassword -SkipHardwareTest

So ging es hingegen:
psexec -accepteula -s -i manage-bde -on C: -RecoveryPassword -SkipHardwareTest

Gediegen. Es war auch bei den anderen Geräten so, dass sich Bitlocker nicht einschaltet.

Ich war der Meinung, dass das Startskript als SYSTEM ausgeführt wird. Komisch...
DerWoWusste
DerWoWusste 03.08.2018 um 09:09:07 Uhr
Goto Top
Ich war der Meinung, dass das Startskript als SYSTEM ausgeführt wird
Das wird es auch. Zum Test, füg in Dein Skript bitte folgende zeile hinzu:
whoami
In der Ausgabe des Skriptes sollte dann stehen:
nt authority\system
derLenhart
derLenhart 03.08.2018 um 16:17:45 Uhr
Goto Top
Ja, wird es: nt-autorit„t\system

Kann es am Schalter -i liegen von psexec?
DerWoWusste
DerWoWusste 03.08.2018 aktualisiert um 16:44:50 Uhr
Goto Top
Es ist mir ein Rätsel, wie gesagt.
-i heißt "interactive", also sichtbar. Was das nun in diesem Kontext ändern könnte - keine Ahnung. Aber ich teste das gleich mal aus.
DerWoWusste
DerWoWusste 03.08.2018 um 17:02:40 Uhr
Goto Top
Funktiniert hier problemlos.
manage-bde -on c: -rp -s -used
derLenhart
derLenhart 07.08.2018 um 19:12:20 Uhr
Goto Top
Kurze Frage: Welches Betriebssystem/Funktionsupdate hast Du?

Danke für die Mühe.
derLenhart
derLenhart 07.08.2018 um 19:26:04 Uhr
Goto Top
Ahhh... Schau mal hier

https://www.reddit.com/r/sysadmin/comments/8i6v32/bitlocker_with_adstore ...


So uns so ähnlich, scheint es Probleme in 1803 zu geben, wenn ein lokales Konto (wohl auch das Systemkonto) versucht BitLocker zu aktivieren.

Weiter unten ist das mit psexec dann beschrieben, in der Art, wie ich es in etwa verwende.

Klingt komisch, ist aber so. Wohl ein Bug...
DerWoWusste
DerWoWusste 08.08.2018 um 08:25:47 Uhr
Goto Top
Dieser "Bug" ist eine Umstellung der Arbeitsweise von BL, hat aber rein gar nichts mir Deinem Problem zu tun.
Ich verwende 1803.