Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst BitLocker - Wiederherstellungsschlüssel werden nicht im AD gespeichert

Mitglied: emeriks

emeriks (Level 5) - Jetzt verbinden

14.07.2017 um 09:10 Uhr, 3648 Aufrufe, 20 Kommentare, 1 Danke

Hi,
wenn wir eine Partition mit BitLocker verschlüsseln, dann wird er Wiederherstellungsschlüssel nicht im AD gespeichert, obwohl m.E. alles dafür vorbereitet ist.

Stamm-Domäne: Win 2016
Sub-Domäne: Win 2016
Funktionsebenen: Windows 2008 R2 (werden erst demnächst angehoben wenn letzte 2008R2-DC raus sind)
Client: Win 10 Pro

Client hat per GPO diese Einstellungen bekommen:

bitlocker - Klicke auf das Bild, um es zu vergrößern

Client hat diese GPO auch übernommen:

bitlocker2 - Klicke auf das Bild, um es zu vergrößern


Er hat dann anstandslos verschlüsselt. Hat aber nicht danach gefragt, ob er den Schlüssel im AD speichern soll. Nur "In Datei speichern" oder "ausdrucken" angeboten. Habe erstmal in Datei gespeichert.

Im AD finde ich dann nichts:

bitlocker4 - Klicke auf das Bild, um es zu vergrößern
bitlocker3 - Klicke auf das Bild, um es zu vergrößern


@DerWoWusste meinte mal hier, dass nix weiter eingestellt werden müsste.

Was haben wir vergessen?

E.
Mitglied: beidermachtvongreyscull
14.07.2017, aktualisiert um 09:59 Uhr
Ich glaube, dass ein Berechtigungsproblem noch vorliegen könnte.

Schau mal hier:
https://blogs.technet.microsoft.com/askcore/2010/03/30/access-denied-err ...

und hier:
https://www.concurrency.com/blog/w/enable-bitlocker,-automatically-save- ...

Ich brauchte damals ein Script, um diese Berechtigung zu setzen:

01.
'=============================================================================== 
02.
' 
03.
' This script demonstrates the addition of an Access Control Entry (ACE) 
04.
' to allow computers to write Trusted Platform Module (TPM)  
05.
' recovery information to Active Directory. 
06.
' 
07.
' This script creates a SELF ACE on the top-level domain object, and 
08.
' assumes that inheritance of ACL's from the top-level domain object to  
09.
' down-level computer objects are enabled. 
10.
' 
11.
'  
12.
' 
13.
' Last Updated: 07/01/2006 
14.
' Last Reviewed: 09/19/2009 
15.
' Microsoft Corporation 
16.
' 
17.
' Disclaimer 
18.
'  
19.
' The sample scripts are not supported under any Microsoft standard support program 
20.
' or service. The sample scripts are provided AS IS without warranty of any kind.  
21.
' Microsoft further disclaims all implied warranties including, without limitation,  
22.
' any implied warranties of merchantability or of fitness for a particular purpose.  
23.
' The entire risk arising out of the use or performance of the sample scripts and  
24.
' documentation remains with you. In no event shall Microsoft, its authors, or  
25.
' anyone else involved in the creation, production, or delivery of the scripts be  
26.
' liable for any damages whatsoever (including, without limitation, damages for loss  
27.
' of business profits, business interruption, loss of business information, or  
28.
' other pecuniary loss) arising out of the use of or inability to use the sample  
29.
' scripts or documentation, even if Microsoft has been advised of the possibility  
30.
' of such damages. 
31.
' 
32.
' Version 1.0.1 - Tested and re-released for Windows 7 and Windows Server 2008 R2 
33.
 
34.
'  
35.
'=============================================================================== 
36.
 
37.
' -------------------------------------------------------------------------------- 
38.
' Access Control Entry (ACE) constants  
39.
' -------------------------------------------------------------------------------- 
40.
 
41.
'- From the ADS_ACETYPE_ENUM enumeration 
42.
Const ADS_ACETYPE_ACCESS_ALLOWED_OBJECT      = &H5   'Allows an object to do something 
43.
 
44.
'- From the ADS_ACEFLAG_ENUM enumeration 
45.
Const ADS_ACEFLAG_INHERIT_ACE                = &H2   'ACE can be inherited to child objects 
46.
Const ADS_ACEFLAG_INHERIT_ONLY_ACE           = &H8   'ACE does NOT apply to target (parent) object 
47.
 
48.
'- From the ADS_RIGHTS_ENUM enumeration 
49.
Const ADS_RIGHT_DS_WRITE_PROP                = &H20  'The right to write object properties 
50.
Const ADS_RIGHT_DS_CREATE_CHILD              = &H1   'The right to create child objects 
51.
 
52.
'- From the ADS_FLAGTYPE_ENUM enumeration 
53.
Const ADS_FLAG_OBJECT_TYPE_PRESENT           = &H1   'Target object type is present in the ACE  
54.
Const ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT = &H2   'Target inherited object type is present in the ACE  
55.
 
56.
' -------------------------------------------------------------------------------- 
57.
' TPM and FVE schema object GUID's  
58.
' -------------------------------------------------------------------------------- 
59.
 
60.
'- ms-TPM-OwnerInformation attribute 
61.
SCHEMA_GUID_MS_TPM_OWNERINFORMATION = "{AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}" 
62.
 
63.
'- ms-FVE-RecoveryInformation object 
64.
SCHEMA_GUID_MS_FVE_RECOVERYINFORMATION = "{EA715D30-8F53-40D0-BD1E-6109186D782C}" 
65.
 
66.
'- Computer object 
67.
SCHEMA_GUID_COMPUTER = "{BF967A86-0DE6-11D0-A285-00AA003049E2}" 
68.
 
69.
'Reference: "Platform SDK: Active Directory Schema" 
70.
 
71.
 
72.
 
73.
 
74.
' -------------------------------------------------------------------------------- 
75.
' Set up the ACE to allow write of TPM owner information 
76.
' -------------------------------------------------------------------------------- 
77.
 
78.
Set objAce1 = createObject("AccessControlEntry") 
79.
 
80.
objAce1.AceFlags = ADS_ACEFLAG_INHERIT_ACE + ADS_ACEFLAG_INHERIT_ONLY_ACE 
81.
objAce1.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT 
82.
objAce1.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT + ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT 
83.
 
84.
objAce1.Trustee = "SELBST" 
85.
objAce1.AccessMask = ADS_RIGHT_DS_WRITE_PROP  
86.
objAce1.ObjectType = SCHEMA_GUID_MS_TPM_OWNERINFORMATION 
87.
objAce1.InheritedObjectType = SCHEMA_GUID_COMPUTER 
88.
 
89.
 
90.
 
91.
' -------------------------------------------------------------------------------- 
92.
' NOTE: BY default, the "SELF" computer account can create  
93.
' BitLocker recovery information objects and write BitLocker recovery properties 
94.
' 
95.
' No additional ACE's are needed. 
96.
' -------------------------------------------------------------------------------- 
97.
 
98.
 
99.
' -------------------------------------------------------------------------------- 
100.
' Connect to Discretional ACL (DACL) for domain object 
101.
' -------------------------------------------------------------------------------- 
102.
 
103.
Set objRootLDAP = GetObject("LDAP://rootDSE") 
104.
strPathToDomain = "LDAP://" & objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com 
105.
 
106.
Set objDomain = GetObject(strPathToDomain) 
107.
 
108.
WScript.Echo "Accessing object: " + objDomain.Get("distinguishedName") 
109.
 
110.
Set objDescriptor = objDomain.Get("ntSecurityDescriptor") 
111.
Set objDacl = objDescriptor.DiscretionaryAcl 
112.
 
113.
  
114.
' -------------------------------------------------------------------------------- 
115.
' Add the ACEs to the Discretionary ACL (DACL) and set the DACL 
116.
' -------------------------------------------------------------------------------- 
117.
 
118.
objDacl.AddAce objAce1 
119.
 
120.
objDescriptor.DiscretionaryAcl = objDacl 
121.
objDomain.Put "ntSecurityDescriptor", Array(objDescriptor) 
122.
objDomain.SetInfo 
123.
 
124.
WScript.Echo "SUCCESS!" 
Ich muss allerdings erwähnen, dass ich auch eine Windows 2008-Domäne betreibe.
Es kann durchaus sein, dass dies in neueren Domänenstrukturen nicht erforderlich ist.
Bitte warten ..
Mitglied: emeriks
14.07.2017 um 10:07 Uhr
@beidermachtvongreyscull
Danke. Diese Artikel kenne ich schon und habe das auch schon überprüft. Sorry, habe ich gar nicht erwähnt.
Auch diesen: Backing Up BitLocker and TPM Recovery Information to AD DS.
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 14.07.2017, aktualisiert um 10:27 Uhr
Und die Testprozedur mit manage-bde.exe hat auch nichts gebracht?
Sieht man etwas im Eventlog?

Und hier noch eine Idee:

https://technet.microsoft.com/de-de/library/ff829848(v=ws.10).aspx

Funktioniert denn das Sichern manuell mit:

manage-bde -protectors -adbackup
Bitte warten ..
Mitglied: emeriks
14.07.2017, aktualisiert um 10:58 Uhr
Guter Ansatz! Da bin ich schon mal drauf gestoßen, aber wieder von abgekommen.
01.
manage-bde -protectors -adbackup C: -id {A576C050-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
02.
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.15063
03.
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
04.

05.
Die Wiederherstellungsinformationen wurden in Active Directory gesichert.
Wenn ich dann im AD nach "A576C050" suche, findet er immer noch nichts. Replikation habe ich abgewartet.
Auch mit ADSIEDIT finde ich keine entsprechenden Attribute am Computer-Objekt. Auch keine untergeordneten Objekte.

Im Eventlog "BitLocker-API\Management" des Clients stehen
- Information IDs
u.a.
ID 817: BitLocker successfully sealed a key to the TPM.
ID 811: BitLocker cannot use Secure Boot for integrity because the required UEFI variable 'PK' is not present.
- Warnung ID
ID 793: BitLocker resealed boot settings to the TPM for volume C:
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 14.07.2017 um 11:26 Uhr
Ich habe leider keinen Schimmer, wie ich Dir hier eine Datei anbieten kann, daher der html-Code:

01.
<html dir="ltr" xmlns:v="urn:schemas-microsoft-com:vml" gpmc_reportInitialized="false">
02.
<head>
03.
<meta http-equiv="Content-Type" content="text/html; charset=UTF-16" />
04.
<title>Bitlocker-Policy</title>
05.
<!-- Styles -->
06.
<style type="text/css">
07.
                body    { background-color:#FFFFFF; border:1px solid #666666; color:#000000; font-size:68%; font-family:MS Shell Dlg; margin:0,0,10px,0; word-break:normal; word-wrap:break-word; }
08.

09.
                table   { font-size:100%; table-layout:fixed; width:100%; }
10.

11.
                td,th   { overflow:visible; text-align:left; vertical-align:top; white-space:normal; }
12.

13.
                .title  { background:#FFFFFF; border:none; color:#333333; display:block; height:24px; margin:0px,0px,-1px,0px; padding-top:4px; position:relative; table-layout:fixed; width:100%; z-index:5; }
14.

15.
                .he0_expanded    { background-color:#FEF7D6; border:1px solid #BBBBBB; color:#3333CC; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:0px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
16.

17.
                .he1_expanded    { background-color:#A0BACB; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:20px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
18.

19.
                .he1h_expanded   { background-color: #7197B3; border: 1px solid #BBBBBB; color: #000000; cursor: hand; display: block; font-family: MS Shell Dlg; font-size: 100%; font-weight: bold; height: 2.25em; margin-bottom: -1px; margin-left: 10px; margin-right: 0px; padding-left: 8px; padding-right: 5em; padding-top: 4px; position: relative; width: 100%; }
20.

21.
                .he1    { background-color:#A0BACB; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:20px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
22.

23.
                .he2    { background-color:#C0D2DE; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:30px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
24.

25.
                .he3    { background-color:#D9E3EA; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:40px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
26.

27.
                .he4    { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:50px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
28.

29.
                .he4h   { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:55px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
30.

31.
                .he4i   { background-color:#F9F9F9; border:1px solid #BBBBBB; color:#000000; display:block; font-family:MS Shell Dlg; font-size:100%; margin-bottom:-1px; margin-left:55px; margin-right:0px; padding-bottom:5px; padding-left:21px; padding-top:4px; position:relative; width:100%; }
32.

33.
                .he5    { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:60px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }
34.

35.
                .he5h   { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; padding-left:11px; padding-right:5em; padding-top:4px; margin-bottom:-1px; margin-left:65px; margin-right:0px; position:relative; width:100%; }
36.

37.
                .he5i   { background-color:#F9F9F9; border:1px solid #BBBBBB; color:#000000; display:block; font-family:MS Shell Dlg; font-size:100%; margin-bottom:-1px; margin-left:65px; margin-right:0px; padding-left:21px; padding-bottom:5px; padding-top: 4px; position:relative; width:100%; }
38.

39.
                DIV .expando { color:#000000; text-decoration:none; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:normal; position:absolute; right:10px; text-decoration:underline; z-index: 0; }
40.

41.
                .he0 .expando { font-size:100%; }
42.

43.
                .info, .info3, .info4, .disalign  { line-height:1.6em; padding:0px,0px,0px,0px; margin:0px,0px,0px,0px; }
44.

45.
                .disalign TD                      { padding-bottom:5px; padding-right:10px; }
46.

47.
                .info TD                          { padding-right:10px; width:50%; }
48.

49.
                .info3 TD                         { padding-right:10px; width:33%; }
50.

51.
                .info4 TD, .info4 TH              { padding-right:10px; width:25%; }
52.

53.
                .info TH, .info3 TH, .info4 TH, .disalign TH { border-bottom:1px solid #CCCCCC; padding-right:10px; }
54.

55.
                .subtable, .subtable3             { border:1px solid #CCCCCC; margin-left:0px; background:#FFFFFF; margin-bottom:10px; }
56.

57.
                .subtable TD, .subtable3 TD       { padding-left:10px; padding-right:5px; padding-top:3px; padding-bottom:3px; line-height:1.1em; width:10%; }
58.

59.
                .subtable TH, .subtable3 TH       { border-bottom:1px solid #CCCCCC; font-weight:normal; padding-left:10px; line-height:1.6em;  }
60.

61.
                .subtable .footnote               { border-top:1px solid #CCCCCC; }
62.

63.
                .subtable3 .footnote, .subtable .footnote { border-top:1px solid #CCCCCC; }
64.

65.
                .subtable_frame     { background:#D9E3EA; border:1px solid #CCCCCC; margin-bottom:10px; margin-left:15px; }
66.

67.
                .subtable_frame TD  { line-height:1.1em; padding-bottom:3px; padding-left:10px; padding-right:15px; padding-top:3px; }
68.

69.
                .subtable_frame TH  { border-bottom:1px solid #CCCCCC; font-weight:normal; padding-left:10px; line-height:1.6em; }
70.

71.
                .subtableInnerHead { border-bottom:1px solid #CCCCCC; border-top:1px solid #CCCCCC; }
72.

73.
                .explainlink            { color:#000000; text-decoration:none; cursor:hand; }
74.

75.
                .explainlink:hover      { color:#0000FF; text-decoration:underline; }
76.

77.
                .spacer { background:transparent; border:1px solid #BBBBBB; color:#FFFFFF; display:block; font-family:MS Shell Dlg; font-size:100%; height:10px; margin-bottom:-1px; margin-left:43px; margin-right:0px; padding-top: 4px; position:relative; }
78.

79.
                .filler { background:transparent; border:none; color:#FFFFFF; display:block; font:100% MS Shell Dlg; line-height:8px; margin-bottom:-1px; margin-left:53px; margin-right:0px; padding-top:4px; position:relative; }
80.

81.
                .container { display:block; position:relative; }
82.

83.
                .rsopheader { background-color:#A0BACB; border-bottom:1px solid black; color:#333333; font-family:MS Shell Dlg; font-size:130%; font-weight:bold; padding-bottom:5px; text-align:center; }
84.

85.
                .rsopname { color:#333333; font-family:MS Shell Dlg; font-size:130%; font-weight:bold; padding-left:11px; }
86.

87.
                .gponame{ color:#333333; font-family:MS Shell Dlg; font-size:130%; font-weight:bold; padding-left:11px; }
88.

89.
                .gpotype{ color:#333333; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; padding-left:11px; }
90.

91.
                #uri    { color:#333333; font-family:MS Shell Dlg; font-size:100%; padding-left:11px; }
92.

93.
                #dtstamp{ color:#333333; font-family:MS Shell Dlg; font-size:100%; padding-left:11px; text-align:left; width:30%; }
94.

95.
                #objshowhide { color:#000000; cursor:hand; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; margin-right:0px; padding-right:10px; text-align:right; text-decoration:underline; z-index:2; word-wrap:normal; }
96.

97.
                #gposummary { display:block; }
98.

99.
                #gpoinformation { display:block; }
100.

101.
                @media print {
102.

103.
                    #objshowhide{ display:none; }
104.

105.
                    body    { color:#000000; border:1px solid #000000; }
106.

107.
                    .title  { color:#000000; border:1px solid #000000; }
108.

109.
                    .he0_expanded    { color:#000000; border:1px solid #000000; }
110.

111.
                    .he1h_expanded   { color:#000000; border:1px solid #000000; }
112.

113.
                    .he1_expanded    { color:#000000; border:1px solid #000000; }
114.

115.
                    .he1    { color:#000000; border:1px solid #000000; }
116.

117.
                    .he2    { color:#000000; background:#EEEEEE; border:1px solid #000000; }
118.

119.
                    .he3    { color:#000000; border:1px solid #000000; }
120.

121.
                    .he4    { color:#000000; border:1px solid #000000; }
122.

123.
                    .he4h   { color:#000000; border:1px solid #000000; }
124.

125.
                    .he4i   { color:#000000; border:1px solid #000000; }
126.

127.
                    .he5    { color:#000000; border:1px solid #000000; }
128.

129.
                    .he5h   { color:#000000; border:1px solid #000000; }
130.

131.
                    .he5i   { color:#000000; border:1px solid #000000; }
132.

133.
                    }
134.

135.
                    v\:* {behavior:url(#default#VML);}
136.

137.
</style>
138.
<!-- Script 1 -->
139.

140.
<script language="vbscript">
141.
<!--
142.
'================================================================================
143.
' String "strShowHide(0/1)"
144.
' 0 = Hide all mode.
145.
' 1 = Show all mode.
146.
strShowHide = 1
147.

148.
'Localized strings
149.
strShow = "show"
150.
strHide = "hide"
151.
strShowAll = "show all"
152.
strHideAll = "hide all"
153.
strShown = "shown"
154.
strHidden = "hidden"
155.
strExpandoNumPixelsFromEdge = "10px"
156.

157.

158.
Function IsSectionHeader(obj)
159.
    IsSectionHeader = (obj.className = "he0_expanded") Or (obj.className = "he1h_expanded") Or (obj.className = "he1_expanded") Or (obj.className = "he1") Or (obj.className = "he2") Or (obj.className = "he3") Or (obj.className = "he4") Or (obj.className = "he4h") Or (obj.className = "he5") Or (obj.className = "he5h")
160.
End Function
161.

162.

163.
Function IsSectionExpandedByDefault(objHeader)
164.
    IsSectionExpandedByDefault = (Right(objHeader.className, Len("_expanded")) = "_expanded")
165.
End Function
166.

167.

168.
' strState must be show | hide | toggle
169.
Sub SetSectionState(objHeader, strState)
170.
    ' Get the container object for the section.  It's the first one after the header obj.
171.

172.
    i = objHeader.sourceIndex
173.
    Set all = objHeader.parentElement.document.all
174.
    While (all(i).className <> "container")
175.
        i = i + 1
176.
    Wend
177.

178.
    Set objContainer = all(i)
179.

180.
    If strState = "toggle" Then
181.
        If objContainer.style.display = "none" Then
182.
            SetSectionState objHeader, "show"
183.
        Else
184.
            SetSectionState objHeader, "hide"
185.
        End If
186.

187.
    Else
188.
        Set objExpando = objHeader.children.item(1)
189.

190.
        If strState = "show" Then
191.
            objContainer.style.display = "block"
192.
            objExpando.innerText = strHide
193.

194.
        ElseIf strState = "hide" Then
195.
            objContainer.style.display = "none"
196.
            objExpando.innerText = strShow
197.
        End If
198.
    End If
199.
End Sub
200.

201.

202.
Sub ShowSection(objHeader)
203.
    SetSectionState objHeader, "show"
204.
End Sub
205.

206.

207.
Sub HideSection(objHeader)
208.
    SetSectionState objHeader, "hide"
209.
End Sub
210.

211.

212.
Sub ToggleSection(objHeader)
213.
    SetSectionState objHeader, "toggle"
214.
End Sub
215.

216.

217.
'================================================================================
218.
' When user clicks anywhere in the document body, determine if user is clicking
219.
' on a header element.
220.
'================================================================================
221.
Function document_onclick()
222.
    Set strsrc    = window.event.srcElement
223.

224.
    While (strsrc.className = "sectionTitle" Or strsrc.className = "expando" Or strsrc.className = "vmlimage")
225.
        Set strsrc = strsrc.parentElement
226.
    Wend
227.

228.
    ' Only handle clicks on headers.
229.
    If Not IsSectionHeader(strsrc) Then Exit Function
230.

231.
    ToggleSection strsrc
232.

233.
    window.event.returnValue = False
234.
End Function
235.

236.
'================================================================================
237.
' link at the top of the page to collapse/expand all collapsable elements
238.
'================================================================================
239.
Function objshowhide_onClick()
240.
    Set objBody = document.body.all
241.
    Select Case strShowHide
242.
        Case 0
243.
            strShowHide = 1
244.
            objshowhide.innerText = strShowAll
245.
            For Each obji In objBody
246.
                If IsSectionHeader(obji) Then
247.
                    HideSection obji
248.
                End If
249.
            Next
250.
        Case 1
251.
            strShowHide = 0
252.
            objshowhide.innerText = strHideAll
253.
            For Each obji In objBody
254.
                If IsSectionHeader(obji) Then
255.
                    ShowSection obji
256.
                End If
257.
            Next
258.
    End Select
259.
End Function
260.

261.
'================================================================================
262.
' onload collapse all except the first two levels of headers (he0, he1)
263.
'================================================================================
264.
Function window_onload()
265.
    ' Only initialize once.  The UI may reinsert a report into the webbrowser control,
266.
    ' firing onLoad multiple times.
267.
    If UCase(document.documentElement.getAttribute("gpmc_reportInitialized")) <> "TRUE" Then
268.

269.
        ' Set text direction
270.
        Call fDetDir(UCase(document.dir))
271.

272.
        ' Initialize sections to default expanded/collapsed state.
273.
        Set objBody = document.body.all
274.

275.
        For Each obji in objBody
276.
            If IsSectionHeader(obji) Then
277.
                If IsSectionExpandedByDefault(obji) Then
278.
                    ShowSection obji
279.
                Else
280.
                    HideSection obji
281.
                End If
282.
            End If
283.
        Next
284.

285.
        objshowhide.innerText = strShowAll
286.

287.
        document.documentElement.setAttribute "gpmc_reportInitialized", "true"
288.
    End If
289.
End Function
290.

291.
                
292.

293.

294.
'================================================================================
295.
' When direction (LTR/RTL) changes, change adjust for readability
296.
'================================================================================
297.
Function document_onPropertyChange()
298.
    If window.event.propertyName = "dir" Then
299.
        Call fDetDir(UCase(document.dir))
300.
    End If
301.
End Function
302.
Function fDetDir(strDir)
303.
    strDir = UCase(strDir)
304.
    Select Case strDir
305.
        Case "LTR"
306.
            Set colRules = document.styleSheets(0).rules
307.
            For i = 0 To colRules.length -1
308.
                Set nug = colRules.item(i)
309.
                strClass = nug.selectorText
310.
                If nug.style.textAlign = "right" Then
311.
                    nug.style.textAlign = "left"
312.
                End If
313.
                Select Case strClass
314.
                    Case "DIV .expando"
315.
                        nug.style.Left = ""
316.
                        nug.style.right = strExpandoNumPixelsFromEdge
317.
                    Case "#objshowhide"
318.
                        nug.style.textAlign = "right"
319.
                End Select
320.
            Next
321.
        Case "RTL"
322.
            Set colRules = document.styleSheets(0).rules
323.
            For i = 0 To colRules.length -1
324.
                Set nug = colRules.item(i)
325.
                strClass = nug.selectorText
326.
                If nug.style.textAlign = "left" Then
327.
                    nug.style.textAlign = "right"
328.
                End If
329.
                Select Case strClass
330.
                    Case "DIV .expando"
331.
                        nug.style.Left = strExpandoNumPixelsFromEdge
332.
                        nug.style.right = ""
333.
                    Case "#objshowhide"
334.
                        nug.style.textAlign = "left"
335.
                End Select
336.
            Next
337.
    End Select
338.
End Function
339.

340.
'================================================================================
341.
'When printing reports, if a given section is expanded, let's says "shown" (instead of "hide" in the UI).
342.
'================================================================================
343.
Function window_onbeforeprint()
344.
    For Each obji In document.all
345.
        If obji.className = "expando" Then
346.
            If obji.innerText = strHide Then obji.innerText = strShown
347.
            If obji.innerText = strShow Then obji.innerText = strHidden
348.
        End If
349.
    Next
350.
End Function
351.

352.
'================================================================================
353.
'If a section is collapsed, change to "hidden" in the printout (instead of "show").
354.
'================================================================================
355.
Function window_onafterprint()
356.
    For Each obji In document.all
357.
        If obji.className = "expando" Then
358.
            If obji.innerText = strShown Then obji.innerText = strHide
359.
            If obji.innerText = strHidden Then obji.innerText = strShow
360.
        End If
361.
    Next
362.
End Function
363.

364.
'================================================================================
365.
' Adding keypress support for accessibility
366.
'================================================================================
367.
Function document_onKeyPress()
368.
    If window.event.keyCode = "32" Or window.event.keyCode = "13" Or window.event.keyCode = "10" Then 'space bar (32) or carriage return (13) or line feed (10)
369.
        If window.event.srcElement.className = "expando" Then Call document_onclick() : window.event.returnValue = false
370.
        If window.event.srcElement.className = "sectionTitle" Then Call document_onclick() : window.event.returnValue = false
371.
        If window.event.srcElement.id = "objshowhide" Then Call objshowhide_onClick() : window.event.returnValue = false
372.
    End If
373.
End Function
374.
                
375.
-->
376.
</script>
377.
                
378.
<!-- Script 2 -->
379.

380.
<script language="javascript">
381.
<!--
382.
function getExplainWindowTitle()
383.
{
384.
        return document.getElementById("explainText_windowTitle").innerHTML;
385.
}
386.

387.
function getExplainWindowStyles()
388.
{
389.
        return document.getElementById("explainText_windowStyles").innerHTML;
390.
}
391.

392.
function getExplainWindowSettingPathLabel()
393.
{
394.
        return document.getElementById("explainText_settingPathLabel").innerHTML;
395.
}
396.

397.
function getExplainWindowExplainTextLabel()
398.
{
399.
        return document.getElementById("explainText_explainTextLabel").innerHTML;
400.
}
401.

402.
function getExplainWindowPrintButton()
403.
{
404.
        return document.getElementById("explainText_printButton").innerHTML;
405.
}
406.

407.
function getExplainWindowCloseButton()
408.
{
409.
        return document.getElementById("explainText_closeButton").innerHTML;
410.
}
411.

412.
function getNoExplainTextAvailable()
413.
{
414.
        return document.getElementById("explainText_noExplainTextAvailable").innerHTML;
415.
}
416.

417.
function getExplainWindowSupportedLabel()
418.
{
419.
        return document.getElementById("explainText_supportedLabel").innerHTML;
420.
}
421.

422.
function getNoSupportedTextAvailable()
423.
{
424.
        return document.getElementById("explainText_noSupportedTextAvailable").innerHTML;
425.
}
426.

427.
function showExplainText(srcElement)
428.
{
429.
    var strSettingName = srcElement.getAttribute("gpmc_settingName");
430.
    var strSettingPath = srcElement.getAttribute("gpmc_settingPath");
431.
    var strSettingDescription = srcElement.getAttribute("gpmc_settingDescription");
432.

433.
    if (strSettingDescription == "")
434.
    {
435.
                strSettingDescription = getNoExplainTextAvailable();
436.
    }
437.

438.
    var strSupported = srcElement.getAttribute("gpmc_supported");
439.

440.
    if (strSupported == "")
441.
    {
442.
        strSupported = getNoSupportedTextAvailable();
443.
    }
444.

445.
    var strHtml = "<html>\n";
446.
    strHtml += "<head>\n";
447.
    strHtml += "<title>" + getExplainWindowTitle() + "</title>\n";
448.
    strHtml += "<style type='text/css'>\n" + getExplainWindowStyles() + "</style>\n";
449.
    strHtml += "</head>\n";
450.
    strHtml += "<body>\n";
451.
    strHtml += "<div class='head'>" + strSettingName +"</div>\n";
452.
    strHtml += "<div class='path'><b>" + getExplainWindowSettingPathLabel() + "</b><br/>" + strSettingPath +"</div>\n";
453.
    strHtml += "<div class='path'><b>" + getExplainWindowSupportedLabel() + "</b><br/>" + strSupported +"</div>\n";
454.
    strHtml += "<div class='info'>\n";
455.
    strHtml += "<div class='hdr'>" + getExplainWindowExplainTextLabel() + "</div>\n";
456.
    strHtml += "<div class='bdy'>" + strSettingDescription + "</div>\n";
457.
    strHtml += "<div class='btn'>";
458.
    strHtml += getExplainWindowPrintButton();
459.
    strHtml += getExplainWindowCloseButton();
460.
    strHtml += "</div></body></html>";
461.

462.
    var strDiagArgs = "height=360px, width=630px, status=no, toolbar=no, scrollbars=yes, resizable=yes ";
463.
    var expWin = window.open("", "expWin", strDiagArgs);
464.
    expWin.document.write("");
465.
    expWin.document.close();
466.
    expWin.document.write(strHtml);
467.
    expWin.document.close();
468.
    expWin.focus();
469.

470.
    //cancels navigation for IE.
471.
    if(navigator.userAgent.indexOf("MSIE") > 0)
472.
    {
473.
        window.event.returnValue = false;
474.
    }
475.

476.
    return false;
477.
}
478.
-->
479.
</script>
480.
                
481.
</head>
482.

483.
<body>
484.

485.
<!-- HTML resources -->
486.
<div style="display:none;">
487.
        <div id="explainText_windowTitle">Gruppenrichtlinienverwaltung</div>
488.
        <div id="explainText_windowStyles">
489.
        
490.
                            body  { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; }
491.

492.
                            .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; }
493.

494.
                            .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; }
495.

496.
                            .info { padding-left:10px;width:100%; }
497.

498.
                            table { font-size:100%; width:100%; border:1px solid #999999; }
499.

500.
                            th    { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; }
501.

502.
                            td    { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; }
503.

504.
                            .btn  { width:100%; text-align:right; margin-top:16px; }
505.

506.
                            .hdr  { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; }
507.

508.
                            .bdy  { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; }
509.

510.
                            button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; }
511.

512.
                            @media print {
513.

514.
                                .bdy { display:block; overflow:visible; }
515.

516.
                                button { display:none; }
517.

518.
                                .head { color:#000000; background:#FFFFFF; border:1px solid #000000; }
519.

520.
                            }
521.

522.
                
523.
        </div>
524.
        <div id="explainText_settingPathLabel">Pfad für Einstellungen:</div>
525.
        <div id="explainText_explainTextLabel">Erklärung</div>
526.
        <div id="explainText_printButton">
527.
        <button name="Print" onClick="window.print()" accesskey="D"><u>D</u>rucken</button>
528.

529.
                </div>
530.
        <div id="explainText_closeButton">
531.
        <button name="Close" onClick="window.close()" accesskey="S"><u>S</u>chließen</button>
532.
                
533.
        </div>
534.
        <div id="explainText_noExplainTextAvailable">Für diese Einstellung ist keine Erklärung vorhanden.</div>
535.
        <div id="explainText_supportedLabel">Unterstützt auf:</div>
536.
        <div id="explainText_noSupportedTextAvailable">Nicht verfügbar</div>
537.
</div><table class="title" cellpadding="0" cellspacing="0">
538.
<tr><td colspan="2" class="gponame">Bitlocker-Policy</td></tr>
539.
<tr>
540.
    <td id="dtstamp">Daten ermittelt am: 14.07.2017 11:10:11</td>
541.
    <td><div id="objshowhide" tabindex="0"></div></td>
542.
</tr>
543.
</table>
544.

545.
<div class="gposummary">
546.
<div class="he0_expanded"><span class="sectionTitle" tabindex="0">Allgemein</span><a class="expando" href="#"></a></div>
547.
<div class="container"><div class="he1"><span class="sectionTitle" tabindex="0">Details</span><a class="expando" href="#"></a></div>
548.
<div class="container"><div class="he4i"><table class="info" cellpadding="0" cellspacing="0">
549.
<tr><td scope="row">Domäne</td><td>XXX.local</td></tr>
550.
<tr><td scope="row">Besitzer</td><td>XXX\Dom&#228;nen-Admins</td></tr>
551.
<tr><td scope="row">Erstellt</td><td>31.08.2016 09:52:24</td></tr>
552.
<tr><td scope="row">Geändert</td><td>31.08.2016 11:29:42</td></tr>
553.
<tr><td scope="row">Benutzerrevisionen</td><td>0 (AD), 0 (sysvol)</td></tr>
554.
<tr><td scope="row">Computerrevisionen</td><td>11 (AD), 11 (sysvol)</td></tr>
555.
<tr><td scope="row">Eindeutige ID</td><td>{041801C9-077A-4B95-BF3D-E87A18F7CD9E}</td></tr>
556.
<tr><td scope="row">GPO-Status</td><td>Aktiviert</td></tr>
557.
</table></div></div>
558.
<div class="filler"></div>
559.
<div class="he1"><span class="sectionTitle" tabindex="0">Verknüpfungen</span><a class="expando" href="#"></a></div>
560.
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0"><tr><th scope="col">Standort</th><th scope="col">Erzwungen</th><th scope="col">Verknüpfungsstatus</th><th scope="col">Pfad</th></tr>
561.
    <tr><td>Bitlocker-Verschl&#252;sselung</td><td>Nein</td><td>Aktiviert</td><td>XXX.local/Computerverwaltung/Windows 10/Bitlocker-Verschl&#252;sselung</td></tr>
562.
    </table>
563.
    <br/>Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.</div></div>
564.
<div class="filler"></div>
565.
<div class="he1"><span class="sectionTitle" tabindex="0">Sicherheitsfilterung</span><a class="expando" href="#"></a></div>
566.
<div class="container"><div class="he4i"><b>Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:</b></div>
567.
<div class="he4i">
568.
<table class="info" cellpadding="0" cellspacing="0"><tr><th scope="col">Name</th></tr><tr><td>NT-AUTORIT&#196;T\Authentifizierte Benutzer</td></tr></table>
569.
</div>
570.
</div>
571.
<div class="filler"></div>
572.

573.
<div class="filler"></div>
574.
<div class="he1"><span class="sectionTitle" tabindex="0">Delegierung</span><a class="expando" href="#"></a></div>
575.
<div class="container"><div class="he4i"><b>Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt</b></div>
576.
<div class="he4i">
577.
<table class="info3" cellpadding="0" cellspacing="0">
578.
<tr><th scope="col">Name</th><th scope="col">Zulässige Berechtigungen</th><th scope="col">Geerbt</th></tr>
579.
<tr><td>NT-AUTORIT&#196;T\Authentifizierte Benutzer</td><td>Lesen (durch Sicherheitsfilterung)</td><td>Nein</td></tr>
580.
<tr><td>NT-AUTORIT&#196;T\DOM&#196;NENCONTROLLER DER ORGANISATION</td><td>Lesen</td><td>Nein</td></tr>
581.
<tr><td>NT-AUTORIT&#196;T\SYSTEM</td><td>Einstellungen bearbeiten, löschen, Sicherheit ändern</td><td>Nein</td></tr>
582.
<tr><td>XXX\Dom&#228;nen-Admins</td><td>Einstellungen bearbeiten, löschen, Sicherheit ändern</td><td>Nein</td></tr>
583.
<tr><td>XXX\Organisations-Admins</td><td>Einstellungen bearbeiten, löschen, Sicherheit ändern</td><td>Nein</td></tr>
584.
</table>
585.

586.
</div></div></div>
587.
<div class="filler"></div>
588.
</div>
589.
<div class="he0_expanded"><span class="sectionTitle" tabindex="0">Computerkonfiguration (Aktiviert)</span><a class="expando" href="#"></a></div>
590.
<div class="container"><div class="he1h_expanded"><span class="sectionTitle" tabindex="0">Richtlinien</span><a class="expando" href="#"></a></div>
591.
<div class="container"><div class="he1"><span class="sectionTitle" tabindex="0">Administrative Vorlagen</span><a class="expando" href="#"></a></div>
592.
<div class="container"><div class="he4i">Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.</div><div class="he3"><span class="sectionTitle" tabindex="0">System/Trusted Platform Module-Dienste</span><a class="expando" href="#"></a></div>
593.
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">
594.
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
595.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="TPM-Sicherung in den Active Directory-Dom&amp;#228;nendiensten aktivieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/System/Trusted Platform Module-Dienste" gpmc_settingDescription="Diese Richtlinieneinstellung erm&amp;#246;glicht das Verwalten der AD DS-Sicherung (Active Directory-Dom&amp;#228;nendienste, Active Directory Domain Services) von TPM-Besitzerinformationen (Trusted Platform Module). &lt;br/&gt;&lt;br/&gt;Die TPM-Besitzerinformationen umfassen einen kryptografischen Hash des TPM-Besitzerkennworts. Bestimmte TPM-Befehle k&amp;#246;nnen nur vom TPM-Besitzer ausgef&amp;#252;hrt werden. Dieser Hash autorisiert das TPM, diese Befehle auszuf&amp;#252;hren. &lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, werden die TPM-Besitzerinformationen automatisch und im Hintergrund in AD DS gesichert, wenn Sie Windows verwenden, um das TPM-Besitzerkennwort festzulegen oder zu &amp;#228;ndern. &lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein TPM-Besitzerkennwort nur dann festgelegt oder ge&amp;#228;ndert werden, wenn der Computer mit einer Dom&amp;#228;ne verbunden ist und die AD DS-Sicherung erfolgreich ausgef&amp;#252;hrt wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine TPM-Besitzerinformationen in AD DS gesichert. &lt;br/&gt;&lt;br/&gt;Hinweis: Sie m&amp;#252;ssen zuerst geeignete Schemaerweiterungen und Zugriffssteuerungseinstellungen in der Dom&amp;#228;ne einrichten, damit die AD DS-Sicherung erfolgreich ausgef&amp;#252;hrt werden kann. Weitere Informationen zum Einrichten der Active Directory-Dom&amp;#228;nendienste f&amp;#252;r das TPM finden Sie in der Onlinedokumentation.&lt;br/&gt;&lt;br/&gt;Hinweis: Sie m&amp;#252;ssen zuerst einen Besitzer festlegen, um das TPM zum Bereitstellen von erweiterten Sicherheitsfeatures f&amp;#252;r die BitLocker-Laufwerkverschl&amp;#252;sselung und andere Anwendungen bereitzustellen. Wenn Sie den Besitz eines TPMs mit einem Besitzerkennwort &amp;#252;bernehmen m&amp;#246;chten, f&amp;#252;hren Sie &amp;quot;tpm.msc&amp;quot; aus, und w&amp;#228;hlen Sie die Aktion &amp;quot;TPM initialisieren&amp;quot;.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn die TPM-Besitzerinformationen verloren gegangen oder nicht verf&amp;#252;gbar sind, ist durch Ausf&amp;#252;hren von &amp;quot;tpm.msc&amp;quot; auf dem lokalen Computer eine begrenzte TPM-Verwaltung m&amp;#246;glich." gpmc_supported="Mindestens Windows Vista">TPM-Sicherung in den Active Directory-Dom&#228;nendiensten aktivieren</a></td><td>Aktiviert</td><td></td></tr>
596.
</table>
597.
</div></div><div class="he3"><span class="sectionTitle" tabindex="0">Windows-Komponenten/BitLocker-Laufwerkverschl&#252;sselung</span><a class="expando" href="#"></a></div>
598.
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">
599.
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
600.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&amp;#228;nendiensten speichern (Windows Server 2008 und Windows Vista)" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung" gpmc_settingDescription="Diese Richtlinieneinstellung erm&amp;#246;glicht das Verwalten der Active Directory-Dom&amp;#228;nendienste-Sicherung (AD DS, Active Directory Domain Services) von Wiederherstellungsinformationen zur BitLocker-Laufwerkverschl&amp;#252;sselung. Hierbei handelt es sich um ein administratives Verfahren f&amp;#252;r die Wiederherstellung der von BitLocker verschl&amp;#252;sselten Daten, mit dem Datenverluste aufgrund fehlender Schl&amp;#252;sselinformationen vermieden werden. Diese Richtlinieneinstellung gilt nur f&amp;#252;r Computer, auf denen Windows Server 2008 oder Windows Vista ausgef&amp;#252;hrt wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, werden bei aktivierter BitLocker-Laufwerkverschl&amp;#252;sselung f&amp;#252;r einen Computer automatisch BitLocker-Wiederherstellungsinformationen im Hintergrund in AD DS gesichert. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Hinweis: M&amp;#246;glicherweise m&amp;#252;ssen Sie zuerst geeignete Schemaerweiterungen und Zugriffssteuerungseinstellungen in der Dom&amp;#228;ne einrichten, damit die AD DS-Sicherung erfolgreich ausgef&amp;#252;hrt werden kann. Weitere Informationen zum Einrichten der AD DS-Sicherung f&amp;#252;r BitLocker finden Sie in Microsoft TechNet.&lt;br/&gt;&lt;br/&gt;Die BitLocker-Wiederherstellungsinformationen enthalten das Wiederherstellungskennwort und einige eindeutige ID-Daten. Sie k&amp;#246;nnen auch ein Paket einf&amp;#252;gen, das einen Verschl&amp;#252;sselungsschl&amp;#252;ssel f&amp;#252;r ein mit BitLocker gesch&amp;#252;tztes Laufwerk enth&amp;#228;lt. Dieses Schl&amp;#252;sselpaket wird durch mindestens ein Wiederherstellungskennwort gesichert und kann dazu dienen, bei einer Datentr&amp;#228;gerbesch&amp;#228;digung eine spezialisierte Wiederherstellung durchzuf&amp;#252;hren.&lt;br/&gt;&lt;br/&gt;Wenn Sie die Option &amp;quot;BitLocker-Sicherung in AD DS erforderlich&amp;quot; ausw&amp;#228;hlen, kann BitLocker nur dann aktiviert werden, wenn der Computer mit der Dom&amp;#228;ne verbunden ist und die BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden. Diese Option ist standardm&amp;#228;&amp;#223;ig aktiviert, um sicherzustellen, dass eine BitLocker-Wiederherstellung m&amp;#246;glich ist. Wenn diese Option nicht aktiviert ist, wird zwar versucht, eine AD DS-Sicherung auszuf&amp;#252;hren, das BitLocker-Setup wird jedoch durch Netzwerk- oder andere Sicherungsfehler nicht verhindert. Die Sicherung wird nicht automatisch wiederholt, und das Wiederherstellungskennwort wurde beim BitLocker-Setup m&amp;#246;glicherweise nicht gespeichert.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine BitLocker-Wiederherstellungsinformationen in AD DS gesichert.&lt;br/&gt;&lt;br/&gt;Hinweis: Beim BitLocker-Setup erfolgt ggf. eine TPM-Initialisierung (Trusted Platform Module). Aktivieren Sie die Richtlinieneinstellung &amp;quot;TPM-Sicherung in Active Directory-Dom&amp;#228;nendienste aktivieren&amp;quot; in &amp;quot;System\Trusted Platform Module-Dienste&amp;quot;, um sicherzustellen, dass die TPM-Informationen ebenfalls gesichert werden.&lt;br/&gt;      &lt;br/&gt;      " gpmc_supported="Windows Server 2008 und Windows Vista">BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&#228;nendiensten speichern (Windows Server 2008 und Windows Vista)</a></td><td>Aktiviert</td><td></td></tr>
601.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
602.
<tr><td>BitLocker-Sicherung in AD DS erforderlich</td><td>Aktiviert</td></tr>
603.
<tr><td colspan="2">Wenn diese Option aktiviert ist, kann BitLocker bei einem Sicherungsfehler nicht aktiviert werden (empfohlene Standardeinstellung).  </td></tr><tr><td colspan="2">Wenn diese Option deaktiviert ist, kann BitLocker selbst bei einem Sicherungsfehler aktiviert werden. Die Sicherung wird nicht automatisch wiederholt.</td></tr><tr><td>W&#228;hlen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus:</td><td>Wiederherstellungskennw&#246;rter und Schl&#252;sselpakete</td></tr>
604.
<tr><td colspan="2"></td></tr><tr><td colspan="2">Ein Wiederherstellungskennwort ist eine 48-stellige Nummer, die den Zugriff auf ein BitLocker-gesch&#252;tztes Laufwerk entsperrt.</td></tr><tr><td colspan="2">Ein Schl&#252;sselpaket enth&#228;lt den durch mindestens ein Wiederherstellungskennwort gesicherten BitLocker-Verschl&#252;sselungsschl&#252;ssel eines Laufwerks.</td></tr><tr><td colspan="2">Schl&#252;sselpakete k&#246;nnen Sie beim Ausf&#252;hren einer spezialisierten Wiederherstellung unterst&#252;tzen, wenn der Datentr&#228;ger besch&#228;digt ist.  </td></tr></table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
605.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Verschl&amp;#252;sselungsmethode und Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Laufwerk ausw&amp;#228;hlen (Windows 10 [Version 1511] und h&amp;#246;her)" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie den von der BitLocker-Laufwerkverschl&amp;#252;sselung verwendeten Algorithmus und die Verschl&amp;#252;sselungsst&amp;#228;rke konfigurieren. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet. Das &amp;#196;ndern der Verschl&amp;#252;sselungsmethode hat keine Auswirkung, wenn das Laufwerk bereits verschl&amp;#252;sselt ist oder die Verschl&amp;#252;sselung gerade stattfindet.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Sie einen Verschl&amp;#252;sselungsalgorithmus und eine Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Schl&amp;#252;ssel ausw&amp;#228;hlen, die individuell f&amp;#252;r Festplatten-, Betriebssystem- und Wechsellaufwerke verwendet werden. F&amp;#252;r Festplatten- und Betriebssystemlaufwerke empfehlen wir die Verwendung des XTS-AES-Algorithmus, und f&amp;#252;r Wechsellaufwerke sollten Sie AES-CBC 128-Bit oder AES-CBC 256-Bit verwenden, wenn das Laufwerk mit anderen Ger&amp;#228;ten ohne Windows 10 (Version 1511) eingesetzt wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker AES mit derselben Bitst&amp;#228;rke (128-Bit oder 256-Bit) wie die Richtlinieneinstellungen &amp;quot;Verschl&amp;#252;sselungsmethode und Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Laufwerk ausw&amp;#228;hlen (Windows Vista, Windows Server 2008, Windows 7)&amp;quot; und &amp;quot;Verschl&amp;#252;sselungsmethode und Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Laufwerk ausw&amp;#228;hlen&amp;quot; (in dieser Reihenfolge), sofern sie festgelegt wurden. Falls keine der Richtlinien festgelegt wurde, verwendet BitLocker die Standardverschl&amp;#252;sselungsmethode &amp;quot;XTS-AES 128-Bit&amp;quot; oder die im Setupskript festgelegte Verschl&amp;#252;sselungsmethode.&lt;br/&gt;&lt;br/&gt;      " gpmc_supported="Mindestens Windows 10 Server, Windows 10">Verschl&#252;sselungsmethode und Verschl&#252;sselungsst&#228;rke f&#252;r Laufwerk ausw&#228;hlen (Windows 10 [Version 1511] und h&#246;her)</a></td><td>Aktiviert</td><td></td></tr>
606.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
607.
<tr><td>Verschl&#252;sselungsmethode f&#252;r Betriebssystemlaufwerke ausw&#228;hlen:</td><td>XTS-AES 256-Bit</td></tr>
608.
<tr><td>Verschl&#252;sselungsmethode f&#252;r Festplattenlaufwerke ausw&#228;hlen:</td><td>XTS-AES 256-Bit</td></tr>
609.
<tr><td>Verschl&#252;sselungsmethode f&#252;r Wechsellaufwerke ausw&#228;hlen:</td><td>AES-CBC 128-Bit (Standardeinstellung)</td></tr>
610.
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
611.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Wiederherstellungsoptionen f&amp;#252;r BitLocker-gesch&amp;#252;tzte Laufwerke f&amp;#252;r Benutzer ausw&amp;#228;hlen (Windows Server 2008 und Windows Vista)" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie steuern, ob der Setup-Assistent der BitLocker-Laufwerkverschl&amp;#252;sselung BitLocker-Wiederherstellungsoptionen anzeigen und festlegen kann. Diese Richtlinie gilt nur f&amp;#252;r Computer, auf denen Windows Server 2008 oder Windows Vista ausgef&amp;#252;hrt wird. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Falls der erforderliche Systemstartschl&amp;#252;ssel nicht verf&amp;#252;gbar ist, kann die Sperre f&amp;#252;r den Zugriff auf die BitLocker-verschl&amp;#252;sselten Daten mit zwei Wiederherstellungsoptionen aufgehoben werden. Der Benutzer kann entweder ein 48-stelliges numerisches Wiederherstellungskennwort eingeben oder ein USB-Flashlaufwerk anschlie&amp;#223;en, das einen 256-Bit-Wiederherstellungsschl&amp;#252;ssel enth&amp;#228;lt.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Sie konfigurieren, welche Optionen im Setup-Assistenten zur Wiederherstellung von BitLocker-verschl&amp;#252;sselten Daten f&amp;#252;r Benutzer angezeigt werden. Beim Speichern auf einem USB-Flashlaufwerk wird das 48-stellige Wiederherstellungskennwort als Textdatei und der 256-Bit-Wiederherstellungsschl&amp;#252;ssel als versteckte Datei gespeichert. Beim Speichern in einem Ordner wird das 48-stellige Wiederherstellungskennwort als Textdatei gespeichert. Beim Drucken wird das 48-stellige Wiederherstellungskennwort an den Standarddrucker gesendet. Wenn Sie beispielsweise das 48-stellige Wiederherstellungskennwort nicht zulassen, k&amp;#246;nnen Benutzer Wiederherstellungsinformationen nicht drucken oder in einem Ordner speichern.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der BitLocker-Setup-Assistent den Benutzern M&amp;#246;glichkeiten zum Speichern von Wiederherstellungsoptionen bereit.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn beim BitLocker-Setup eine TPM-Initialisierung (Trusted Platform Module) erforderlich ist, werden die TPM-Besitzerinformationen mit den BitLocker-Wiederherstellungsinformationen gespeichert oder ausgedruckt.&lt;br/&gt;&lt;br/&gt;Hinweis: Das 48-stellige Wiederherstellungskennwort ist nicht im FIPS-Kompatibilit&amp;#228;tsmodus verf&amp;#252;gbar.&lt;br/&gt;&lt;br/&gt;Wichtig: Diese Richtlinieneinstellung bietet ein administratives Verfahren f&amp;#252;r die Wiederherstellung der von BitLocker verschl&amp;#252;sselten Daten, mit dem Datenverluste aufgrund fehlender Schl&amp;#252;sselinformationen vermieden werden. Wenn Sie verhindern m&amp;#246;chten, dass Benutzer auf die beiden Wiederherstellungsoptionen zugreifen, m&amp;#252;ssen Sie die Richtlinieneinstellung &amp;quot;BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&amp;#228;nendiensten speichern (Windows Server 2008 und Windows Vista)&amp;quot; aktivieren, da andernfalls ein Richtlinienfehler auftritt.&lt;br/&gt;&lt;br/&gt;      &lt;br/&gt;&lt;br/&gt;      " gpmc_supported="Windows Server 2008 und Windows Vista">Wiederherstellungsoptionen f&#252;r BitLocker-gesch&#252;tzte Laufwerke f&#252;r Benutzer ausw&#228;hlen (Windows Server 2008 und Windows Vista)</a></td><td>Aktiviert</td><td></td></tr>
612.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
613.
<tr><td colspan="2">Wichtig: Um Datenverluste zu vermeiden, m&#252;ssen BitLocker-Verschl&#252;sselungsschl&#252;ssel wiederhergestellt werden k&#246;nnen. Wenn Sie die beiden unten angegebenen Wiederherstellungsoptionen nicht zulassen, m&#252;ssen Sie die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS aktivieren. Andernfalls tritt ein Richtlinienfehler auf.</td></tr><tr><td>48-stelliges Wiederherstellungskennwort konfigurieren:</td><td>Wiederherstellungskennwort anfordern (Standardeinstellung)</td></tr>
614.
<tr><td>256-Bit-Wiederherstellungsschl&#252;ssel konfigurieren:</td><td>Wiederherstellungsschl&#252;ssel anfordern (Standardeinstellung)</td></tr>
615.
<tr><td colspan="2">Hinweis: Wenn Sie die Verwendung des Wiederherstellungskennworts nicht zulassen und der Wiederherstellungsschl&#252;ssel erforderlich ist, k&#246;nnen Benutzer BitLocker ohne Speichern auf dem USB-Laufwerk nicht aktivieren.</td></tr><tr><td colspan="2"></td></tr></table></td></tr></table>
616.
</div></div><div class="he3"><span class="sectionTitle" tabindex="0">Windows-Komponenten/BitLocker-Laufwerkverschl&#252;sselung/Betriebssystemlaufwerke</span><a class="expando" href="#"></a></div>
617.
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">
618.
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
619.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Erweiterte PINs f&amp;#252;r Systemstart zulassen" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, ob erweiterte Systemstart-PINs mit BitLocker verwendet werden.&lt;br/&gt;&lt;br/&gt;Erweiterte Systemstart-PINs erm&amp;#246;glichen die Verwendung verschiedener Zeichen, einschlie&amp;#223;lich Gro&amp;#223;- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, handelt es sich bei allen neu festgelegten BitLocker-Systemstart-PINs um erweiterte PINs.&lt;br/&gt;&lt;br/&gt;Hinweis: M&amp;#246;glicherweise unterst&amp;#252;tzen nicht alle Computer erweiterte PINs in der PXE (Pre-Boot eXecution Environment). Benutzern wird dringend empfohlen, w&amp;#228;hrend des BitLocker-Setups eine System&amp;#252;berpr&amp;#252;fung durchzuf&amp;#252;hren.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet.&lt;br/&gt;&lt;br/&gt;      &lt;br/&gt;&lt;br/&gt;      " gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Erweiterte PINs f&#252;r Systemstart zulassen</a></td><td>Aktiviert</td><td></td></tr>
620.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Festlegen, wie BitLocker-gesch&amp;#252;tzte Betriebssystemlaufwerke wiederhergestellt werden k&amp;#246;nnen" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie steuern, wie BitLocker-gesch&amp;#252;tzte Betriebssystemlaufwerke wiederhergestellt werden, falls keine Informationen zum erforderlichen Systemstartschl&amp;#252;ssel verf&amp;#252;gbar sind. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;&amp;#220;ber das Kontrollk&amp;#228;stchen &amp;quot;Zertifikatbasierte Wiederherstellungs-Agents zulassen&amp;quot; geben Sie an, ob f&amp;#252;r BitLocker-gesch&amp;#252;tzte Betriebssystemlaufwerke ein Datenwiederherstellungs-Agent verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus dem Element &amp;quot;Richtlinien &amp;#246;ffentlicher Schl&amp;#252;ssel&amp;quot; entweder in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor f&amp;#252;r lokale Gruppenrichtlinien hinzugef&amp;#252;gt werden. Weitere Informationen zum Hinzuf&amp;#252;gen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch f&amp;#252;r die BitLocker-Laufwerkverschl&amp;#252;sselung (auf Englisch) in Microsoft TechNet.&lt;br/&gt;&lt;br/&gt;W&amp;#228;hlen Sie unter &amp;quot;Speicherung von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren&amp;quot; aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschl&amp;#252;ssel generieren d&amp;#252;rfen, m&amp;#252;ssen oder nicht d&amp;#252;rfen.&lt;br/&gt;&lt;br/&gt;W&amp;#228;hlen Sie &amp;quot;Wiederherstellungsoptionen aus BitLocker-Setup-Assistent unterdr&amp;#252;cken&amp;quot;, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker f&amp;#252;r ein Laufwerk aktivieren. In diesem Fall k&amp;#246;nnen Sie beim Einschalten von BitLocker nicht angeben, welche Wiederherstellungsoption verwendet werden soll, da die BitLocker-Wiederherstellungsoptionen f&amp;#252;r das Laufwerk stattdessen durch die Richtlinieneinstellung bestimmt werden.&lt;br/&gt;&lt;br/&gt;W&amp;#228;hlen Sie unter &amp;quot;BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&amp;#228;nendiensten speichern&amp;quot; aus, welche BitLocker-Wiederherstellungsinformationen f&amp;#252;r Betriebssystemlaufwerke in AD DS gespeichert werden sollen. Bei Auswahl von &amp;quot;Wiederherstellungskennwort und Schl&amp;#252;sselpaket sichern&amp;quot; werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schl&amp;#252;sselpaket in AD DS gespeichert. Durch die Speicherung des Schl&amp;#252;sselpakets k&amp;#246;nnen Daten von einem physikalisch besch&amp;#228;digten Laufwerk wiederhergestellt werden. Bei Auswahl von &amp;quot;Nur Wiederherstellungskennwort sichern&amp;quot; wird ausschlie&amp;#223;lich das Wiederherstellungskennwort in AD DS gespeichert.&lt;br/&gt;&lt;br/&gt;Aktivieren Sie das Kontrollk&amp;#228;stchen &amp;quot;BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen f&amp;#252;r Betriebssystemlaufwerke in AD DS gespeichert wurden&amp;quot;, wenn Sie verhindern m&amp;#246;chten, dass Benutzer BitLocker aktivieren, bevor der Computer mit der Dom&amp;#228;ne verbunden und BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn das Kontrollk&amp;#228;stchen &amp;quot;BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen f&amp;#252;r Betriebssystemlaufwerke in AD DS gespeichert wurden&amp;quot; aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Sie steuern, welche M&amp;#246;glichkeiten Benutzern zum Wiederherstellen von Daten auf BitLocker-gesch&amp;#252;tzten Betriebssystemlaufwerken zur Verf&amp;#252;gung stehen.&lt;br/&gt;&lt;br/&gt;Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert wird, werden die standardm&amp;#228;&amp;#223;igen Wiederherstellungsoptionen f&amp;#252;r die BitLocker-Wiederherstellung unterst&amp;#252;tzt. Ein DRA ist standardm&amp;#228;&amp;#223;ig zul&amp;#228;ssig, die Wiederherstellungsoptionen, einschlie&amp;#223;lich Wiederherstellungskennwort und Wiederherstellungsschl&amp;#252;ssel, k&amp;#246;nnen vom Benutzer festgelegt werden, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Festlegen, wie BitLocker-gesch&#252;tzte Betriebssystemlaufwerke wiederhergestellt werden k&#246;nnen</a></td><td>Aktiviert</td><td></td></tr>
621.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
622.
<tr><td>Datenwiederherstellungs-Agents zulassen</td><td>Aktiviert</td></tr>
623.
<tr><td colspan="2">Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:</td></tr><tr><td></td><td>48-stelliges Wiederherstellungskennwort zulassen</td></tr>
624.
<tr><td></td><td>256-Bit-Wiederherstellungsschl&#252;ssel zulassen</td></tr>
625.
<tr><td>Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdr&#252;cken</td><td>Deaktiviert</td></tr>
626.
<tr><td>BitLocker-Wiederherstellungsinformationen f&#252;r Betriebssystemlaufwerke in AD DS speichern</td><td>Aktiviert</td></tr>
627.
<tr><td>Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:</td><td>Wiederherstellungskennw&#246;rter und Schl&#252;sselpakete speichern</td></tr>
628.
<tr><td>BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen f&#252;r Betriebssystemlaufwerke in AD DS gespeichert wurden</td><td>Aktiviert</td></tr>
629.
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
630.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="TPM-Plattformvalidierungsprofil f&amp;#252;r BIOS-basierte Firmwarekonfigurationen konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschl&amp;#252;sselungsschl&amp;#252;ssel sichert. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht &amp;#252;ber ein kompatibles TPM verf&amp;#252;gt oder wenn BitLocker bereits mit TPM-Schutz eingeschaltet ist.&lt;br/&gt;&lt;br/&gt;Wichtig: Diese Gruppenrichtlinie gilt nur f&amp;#252;r Computer mit BIOS-Konfigurationen oder f&amp;#252;r Computer mit UEFI-Firmware, f&amp;#252;r die ein Kompatibilit&amp;#228;tsdienstmodul (Compatibility Service Module, CSM) aktiviert wurde.  Computer, f&amp;#252;r die eine systemeigene UEFI-Firmwarekonfiguration verwendet wird, speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (Platform Configuration Register, PCR).  Verwenden Sie die Gruppenrichtlinieneinstellung &amp;quot;TPM-Plattformvalidierungsprofil f&amp;#252;r systemeigene UEFI-Firmwarekonfigurationen konfigurieren&amp;quot;, um das TPM PCR-Profil f&amp;#252;r Computer zu konfigurieren, f&amp;#252;r die systemeigene UEFI-Firmware verwendet wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung vor der Aktivierung von BitLocker aktivieren, k&amp;#246;nnen Sie die Startkomponenten konfigurieren, die das TPM &amp;#252;berpr&amp;#252;ft, bevor der Zugriff auf das BitLocker-verschl&amp;#252;sselte Betriebssystemlaufwerk entsperrt wird. &amp;#196;ndert sich eine dieser Komponenten, w&amp;#228;hrend der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschl&amp;#252;sselungsschl&amp;#252;ssel nicht zum Entsperren des Laufwerks frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und es muss entweder das Wiederherstellungskennwort oder der Wiederherstellungsschl&amp;#252;ssel angegeben werden, um das Laufwerk freizugeben.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) in einem Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil sch&amp;#252;tzt den Verschl&amp;#252;sselungsschl&amp;#252;ssel vor &amp;#196;nderungen an: CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen (PCR 0), Options-ROM-Code (PCR 2), MBR-Code (Master Boot Record, PCR 4), NTFS-Startsektor (PCR 8), NTFS-Startblock (PCR 9), Start-Manager (PCR 10) sowie BitLocker-Zugriffssteuerung (PCR 11).&lt;br/&gt;&lt;br/&gt;Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegen&amp;#252;ber Plattformmodifikationen (b&amp;#246;swillig oder autorisiert) nimmt zu oder ab. Dies h&amp;#228;ngt davon an, ob PCRs eingef&amp;#252;gt oder ausgeschlossen werden.&lt;br/&gt;      &lt;br/&gt;      " gpmc_supported="Mindestens Windows Server 2012 oder Windows 8">TPM-Plattformvalidierungsprofil f&#252;r BIOS-basierte Firmwarekonfigurationen konfigurieren</a></td><td>Aktiviert</td><td></td></tr>
631.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
632.
<tr><td colspan="2">Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verkn&#252;pft, die beim Start von Windows ausgef&#252;hrt werden.</td></tr><tr><td colspan="2">W&#228;hlen Sie die in das Profil einzuschlie&#223;enden PCR-Indizes mithilfe der Kontrollk&#228;stchen unten aus.</td></tr><tr><td colspan="2">Gehen Sie beim &#196;ndern dieser Einstellung vorsichtig vor.</td></tr><tr><td colspan="2">Wir empfehlen ein Standardprofil der PCRs 0, 2, 4, 8, 9, 10 und 11.</td></tr><tr><td colspan="2">Damit der BitLocker-Schutz wirksam wird, m&#252;ssen Sie PCR 11 einschlie&#223;en.</td></tr><tr><td colspan="2">Weitere Informationen zu den Vorteilen und Risiken, die &#196;nderungen am standardm&#228;&#223;igen TPM-Plattformvalidierungsprofil verursachen k&#246;nnen, finden Sie in der Onlinedokumentation.</td></tr><tr><td>PCR 0: CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen</td><td>Aktiviert</td></tr>
633.
<tr><td>PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten</td><td>Deaktiviert</td></tr>
634.
<tr><td>PCR 2: Options-ROM-Code</td><td>Aktiviert</td></tr>
635.
<tr><td>PCR 3: Options-ROM-Konfiguration und -Daten</td><td>Deaktiviert</td></tr>
636.
<tr><td>PCR 4: MBR-Code (Master Boot Record)</td><td>Aktiviert</td></tr>
637.
<tr><td>PCR 5: MBR-Partitionstabelle (Master Boot Record)</td><td>Deaktiviert</td></tr>
638.
<tr><td>PCR 6: Status&#252;bergangs- und Reaktivierungsereignisse</td><td>Deaktiviert</td></tr>
639.
<tr><td>PCR 7: Computerherstellerspezifisch</td><td>Deaktiviert</td></tr>
640.
<tr><td>PCR 8: NTFS-Startsektor</td><td>Aktiviert</td></tr>
641.
<tr><td>PCR 9: NTFS-Startblock</td><td>Aktiviert</td></tr>
642.
<tr><td>PCR 10: Start-Manager</td><td>Aktiviert</td></tr>
643.
<tr><td>PCR 11: BitLocker-Zugriffssteuerung</td><td>Aktiviert</td></tr>
644.
<tr><td>PCR 12: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
645.
<tr><td>PCR 13: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
646.
<tr><td>PCR 14: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
647.
<tr><td>PCR 15: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
648.
<tr><td>PCR 16: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
649.
<tr><td>PCR 17: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
650.
<tr><td>PCR 18: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
651.
<tr><td>PCR 19: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
652.
<tr><td>PCR 20: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
653.
<tr><td>PCR 21: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
654.
<tr><td>PCR 22: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
655.
<tr><td>PCR 23: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
656.
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
657.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="TPM-Plattformvalidierungsprofil f&amp;#252;r systemeigene UEFI-Firmwarekonfigurationen konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschl&amp;#252;sselungsschl&amp;#252;ssel sichert. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht &amp;#252;ber ein kompatibles TPM verf&amp;#252;gt oder wenn BitLocker bereits mit TPM-Schutz eingeschaltet ist.&lt;br/&gt;&lt;br/&gt;Wichtig: Diese Gruppenrichtlinie gilt nur f&amp;#252;r Computer mit systemeigener UEFI-Firmwarekonfiguration. Computer mit BIOS- oder UEFI-Firmware, f&amp;#252;r die ein Kompatibilit&amp;#228;tsdienstmodul (Compatibility Service Module, CSM) aktiviert ist, speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (Platform Configuration Register, PCR). Verwenden Sie die Gruppenrichtlinieneinstellung &amp;quot;TPM-Plattformvalidierungsprofil f&amp;#252;r BIOS-basierte Firmwarekonfigurationen konfigurieren&amp;quot;, um das TPM PCR-Profil f&amp;#252;r Computer mit BIOS-Konfigurationen oder f&amp;#252;r Computer mit UEFI-Firmware und aktiviertem CSM zu konfigurieren.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung vor der Aktivierung von BitLocker aktivieren, k&amp;#246;nnen Sie die Startkomponenten konfigurieren, die das TPM &amp;#252;berpr&amp;#252;ft, bevor der Zugriff auf das BitLocker-verschl&amp;#252;sselte Betriebssystemlaufwerk entsperrt wird. &amp;#196;ndert sich eine dieser Komponenten, w&amp;#228;hrend der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschl&amp;#252;sselungsschl&amp;#252;ssel nicht zum Entsperren des Laufwerks frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und es muss entweder das Wiederherstellungskennwort oder der Wiederherstellungsschl&amp;#252;ssel angegeben werden, um das Laufwerk freizugeben.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) in einem Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil sch&amp;#252;tzt den Verschl&amp;#252;sselungsschl&amp;#252;ssel vor &amp;#196;nderungen am ausf&amp;#252;hrbaren Code der Kernsystemfirmware (PCR 0), am erweiterten oder austauschbaren ausf&amp;#252;hrbaren Code (PCR 2), am Start-Manager (PCR 4) und an der BitLocker-Zugriffssteuerung (PCR 11).&lt;br/&gt;&lt;br/&gt;Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegen&amp;#252;ber Plattformmodifikationen (b&amp;#246;swillig oder autorisiert) nimmt zu oder ab. Dies h&amp;#228;ngt davon an, ob PCRs eingef&amp;#252;gt oder ausgeschlossen werden. Genauer gesagt: Wenn Sie diese Richtlinie ohne PCR&amp;#160;7 festlegen, wird die Gruppenrichtlinie &amp;quot;Sicheren Start f&amp;#252;r Integrit&amp;#228;ts&amp;#252;berpr&amp;#252;fung zulassen&amp;quot; au&amp;#223;er Kraft gesetzt. Dadurch wird verhindert, dass BitLocker den sicheren Start f&amp;#252;r die Integrit&amp;#228;ts&amp;#252;berpr&amp;#252;fung der Plattform oder der Startkonfigurationsdaten (Boot Configuration Data, BCD) verwendet. Wenn diese Richtlinie festgelegt ist, wird beim Firmwareupdate u.&amp;#160;U. eine BitLocker-Wiederherstellung durchgef&amp;#252;hrt. Wenn Sie diese Richtlinie so festlegen, dass PCR&amp;#160;0 einbezogen wird, sollten Sie BitLocker vor dem Installieren von Firmwareupdates anhalten.&lt;br/&gt;      &lt;br/&gt;      " gpmc_supported="Mindestens Windows Server&amp;#160;2012, Windows&amp;#160;8 oder Windows&amp;#160;RT">TPM-Plattformvalidierungsprofil f&#252;r systemeigene UEFI-Firmwarekonfigurationen konfigurieren</a></td><td>Aktiviert</td><td></td></tr>
658.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
659.
<tr><td colspan="2">Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verkn&#252;pft, die beim Start von Windows ausgef&#252;hrt werden.</td></tr><tr><td colspan="2">W&#228;hlen Sie die in das Profil einzuschlie&#223;enden PCR-Indizes mithilfe der Kontrollk&#228;stchen unten aus.</td></tr><tr><td colspan="2">Gehen Sie beim &#196;ndern dieser Einstellung vorsichtig vor.</td></tr><tr><td colspan="2">Wir empfehlen ein Standardprofil der PCRs 0, 2, 4 und 11.</td></tr><tr><td colspan="2">Damit der BitLocker-Schutz wirksam wird, m&#252;ssen Sie PCR 11 einschlie&#223;en.</td></tr><tr><td colspan="2">Weitere Informationen zu den Vorteilen und Risiken, die &#196;nderungen am standardm&#228;&#223;igen TPM-Plattformvalidierungsprofil verursachen k&#246;nnen, finden Sie in der Onlinedokumentation.</td></tr><tr><td>PCR 0: Ausf&#252;hrbarer Code f&#252;r Kernsystemfirmware</td><td>Aktiviert</td></tr>
660.
<tr><td>PCR 1: Daten f&#252;r Kernsystemfirmware</td><td>Deaktiviert</td></tr>
661.
<tr><td>PCR 2: Erweiterter oder austauschbarer ausf&#252;hrbarer Code</td><td>Aktiviert</td></tr>
662.
<tr><td>PCR 3: Erweiterte oder austauschbare Firmwaredaten</td><td>Deaktiviert</td></tr>
663.
<tr><td>PCR 4: Start-Manager</td><td>Aktiviert</td></tr>
664.
<tr><td>PCR 5: GPT/Partitionstabelle</td><td>Deaktiviert</td></tr>
665.
<tr><td>PCR 6: Wiederaufnahme aus Energiestatusereignissen S4 und S5</td><td>Deaktiviert</td></tr>
666.
<tr><td>PCR 7: Zustand des sicheren Starts</td><td>Deaktiviert</td></tr>
667.
<tr><td>PCR 8: Initialisiert auf 0 ohne Erweiterungen (reserviert f&#252;r zuk&#252;nftige Verwendung)</td><td>Deaktiviert</td></tr>
668.
<tr><td>PCR 9: Initialisiert auf 0 ohne Erweiterungen (reserviert f&#252;r zuk&#252;nftige Verwendung)</td><td>Deaktiviert</td></tr>
669.
<tr><td>PCR 10: Initialisiert auf 0 ohne Erweiterungen (reserviert f&#252;r zuk&#252;nftige Verwendung)</td><td>Deaktiviert</td></tr>
670.
<tr><td>PCR 11: BitLocker-Zugriffssteuerung</td><td>Aktiviert</td></tr>
671.
<tr><td>PCR 12: Datenereignisse und stark ver&#228;nderliche Ereignisse</td><td>Deaktiviert</td></tr>
672.
<tr><td>PCR 13: Startmoduldetails</td><td>Deaktiviert</td></tr>
673.
<tr><td>PCR 14: Startbefugnisse</td><td>Deaktiviert</td></tr>
674.
<tr><td>PCR 15: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
675.
<tr><td>PCR 16: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
676.
<tr><td>PCR 17: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
677.
<tr><td>PCR 18: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
678.
<tr><td>PCR 19: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
679.
<tr><td>PCR 20: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
680.
<tr><td>PCR 21: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
681.
<tr><td>PCR 22: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
682.
<tr><td>PCR 23: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
683.
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
684.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Verwendung von Kennw&amp;#246;rtern f&amp;#252;r Betriebssystemlaufwerke konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Diese Richtlinieneinstellung gibt die Einschr&amp;#228;nkungen f&amp;#252;r Kennw&amp;#246;rter an, die zum Entsperren BitLocker-gesch&amp;#252;tzter Betriebssystemlaufwerke verwendet werden. Wenn f&amp;#252;r Betriebssystemlaufwerke Nicht-TPM-Schutzvorrichtungen zul&amp;#228;ssig sind, k&amp;#246;nnen Sie ein Kennwort bereitstellen, Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort erzwingen und eine Mindestl&amp;#228;nge f&amp;#252;r das Kennwort konfigurieren. Damit die Einstellung f&amp;#252;r die Komplexit&amp;#228;tsvoraussetzungen wirksam wird, muss zus&amp;#228;tzlich die Gruppenrichtlinieneinstellung &amp;quot;Kennwort muss Komplexit&amp;#228;tsvoraussetzungen entsprechen&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\&amp;quot; aktiviert werden.&lt;br/&gt;&lt;br/&gt;Hinweis: Diese Einstellungen werden beim Einschalten von BitLocker erzwungen, nicht beim Entsperren eines Datentr&amp;#228;gers. BitLocker unterst&amp;#252;tzt das Entsperren eines Laufwerks mit allen auf dem Laufwerk verf&amp;#252;gbaren Schutzvorrichtungen.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Voraussetzungen erf&amp;#252;llt. Um Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort durchzusetzen, w&amp;#228;hlen Sie &amp;quot;Kennwortkomplexit&amp;#228;t anfordern“.&lt;br/&gt;&lt;br/&gt;Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t anfordern&amp;quot; ist eine Verbindung mit einem Dom&amp;#228;nencontroller erforderlich, wenn die Komplexit&amp;#228;t des Kennworts von BitLocker &amp;#252;berpr&amp;#252;ft werden soll. Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t zulassen&amp;quot; wird versucht, eine Verbindung mit einem Dom&amp;#228;nencontroller herzustellen, um zu &amp;#252;berpr&amp;#252;fen, ob die Komplexit&amp;#228;t den durch die Richtlinie vorgegebenen Regeln entspricht. Wenn jedoch keine Dom&amp;#228;nencontroller gefunden werden, wird das Kennwort unabh&amp;#228;ngig von der tats&amp;#228;chlichen Kennwortkomplexit&amp;#228;t trotzdem akzeptiert und das Laufwerk unter Verwendung dieses Kennworts als Schutzvorrichtung verschl&amp;#252;sselt. Bei &amp;quot;Kennwortkomplexit&amp;#228;t nicht zulassen&amp;quot; wird die Kennwortkomplexit&amp;#228;t nicht &amp;#252;berpr&amp;#252;ft.&lt;br/&gt;&lt;br/&gt;Kennw&amp;#246;rter m&amp;#252;ssen mindestens acht Zeichen lang sein. Um eine gr&amp;#246;&amp;#223;ere Mindestl&amp;#228;nge f&amp;#252;r das Kennwort zu konfigurieren, geben Sie die gew&amp;#252;nschte Anzahl von Zeichen in das Feld &amp;quot;Minimale Kennwortl&amp;#228;nge&amp;quot; ein.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardl&amp;#228;ngenbeschr&amp;#228;nkung von 8 Zeichen f&amp;#252;r Kennw&amp;#246;rter f&amp;#252;r Betriebssystemlaufwerke, und es erfolgen keine Komplexit&amp;#228;tspr&amp;#252;fungen.&lt;br/&gt;&lt;br/&gt;Hinweis: Bei aktivierter FIPS-Kompatibilit&amp;#228;t k&amp;#246;nnen keine Kennw&amp;#246;rter verwendet werden. Die Richtlinieneinstellung &amp;quot;Systemkryptografie: FIPS-konformen Algorithmus f&amp;#252;r Verschl&amp;#252;sselung, Hashing und Signatur verwenden&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen&amp;quot; gibt an, ob die FIPS-Kompatibilit&amp;#228;t aktiviert ist.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2012 oder Windows 8">Verwendung von Kennw&#246;rtern f&#252;r Betriebssystemlaufwerke konfigurieren</a></td><td>Aktiviert</td><td></td></tr>
685.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
686.
<tr><td>Kennwortkomplexit&#228;t f&#252;r Betriebssystemlaufwerke konfigurieren:</td><td>Kennwortkomplexit&#228;t zulassen</td></tr>
687.
<tr><td>Minimale Kennwortl&#228;nge f&#252;r Betriebssystemlaufwerk:</td><td>8</td></tr>
688.
<tr><td colspan="2">Hinweis: Sie m&#252;ssen die Richtlinieneinstellung &quot;Kennwort muss Komplexit&#228;tsvoraussetzungen entsprechen&quot; aktivieren, damit die Einstellung f&#252;r die Kennwortkomplexit&#228;t wirksam wird.</td></tr><tr><td>Nur ASCII-Kennw&#246;rter f&#252;r Betriebssystem-Wechseldatentr&#228;ger anfordern</td><td>Deaktiviert</td></tr>
689.
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
690.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Zus&amp;#228;tzliche Authentifizierung beim Start anfordern" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, ob BitLocker bei jedem Computerstart eine zus&amp;#228;tzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne TPM (Trusted Platform Module) verwenden. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Hinweis: Beim Start kann nur eine der zus&amp;#228;tzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler auftritt.&lt;br/&gt;&lt;br/&gt;Falls Sie BitLocker auf einem Computer ohne TPM verwenden m&amp;#246;chten, aktivieren Sie das Kontrollk&amp;#228;stchen &amp;quot;BitLocker ohne kompatibles TPM zulassen&amp;quot;. In diesem Modus ist f&amp;#252;r den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschl&amp;#252;ssels werden die Schl&amp;#252;sselinformationen, die zum Verschl&amp;#252;sseln des Laufwerks verwendet werden, in Form eines USB-Schl&amp;#252;ssels auf dem USB-Laufwerk gespeichert. Wenn der USB-Schl&amp;#252;ssel verf&amp;#252;gbar gemacht wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden. Wenn der USB-Schl&amp;#252;ssel verloren geht, nicht verf&amp;#252;gbar ist oder Sie das Kennwort vergessen haben, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.&lt;br/&gt;&lt;br/&gt;Auf einem Computer mit einem kompatiblen TPM k&amp;#246;nnen beim Start vier Authentifizierungsmethoden verwendet werden, um zus&amp;#228;tzlichen Schutz f&amp;#252;r verschl&amp;#252;sselte Daten bereitzustellen. Beim Start des Computers kann entweder nur das TPM f&amp;#252;r die Authentifizierung erforderlich sein, oder es muss zus&amp;#228;tzlich ein USB-Flashlaufwerk mit einem Systemstartschl&amp;#252;ssel angeschlossen und eine 4- bis 20-stellige pers&amp;#246;nliche Identifikationsnummer (PIN) eingegeben werden, oder beide Optionen k&amp;#246;nnen erforderlich sein.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, k&amp;#246;nnen Benutzer auf Computern mit einem TPM nur grundlegende Optionen konfigurieren.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Flashlaufwerks erzwingen m&amp;#246;chten, m&amp;#252;ssen Sie die BitLocker-Einstellungen mithilfe des Befehlszeilentools &amp;quot;manage-bde&amp;quot; und nicht &amp;#252;ber den Setup-Assistenten der BitLocker-Laufwerkverschl&amp;#252;sselung konfigurieren.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Zus&#228;tzliche Authentifizierung beim Start anfordern</a></td><td>Aktiviert</td><td></td></tr>
691.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
692.
<tr><td>BitLocker ohne kompatibles TPM zulassen (hierf&#252;r ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschl&#252;ssel erforderlich)</td><td>Aktiviert</td></tr>
693.
<tr><td colspan="2">Einstellungen f&#252;r Computer mit einem TPM:</td></tr><tr><td>TPM-Start konfigurieren:</td><td>TPM zulassen</td></tr>
694.
<tr><td>TPM-Systemstart-PIN konfigurieren:</td><td>Systemstart-PIN bei TPM zulassen</td></tr>
695.
<tr><td>TPM-Systemstartschl&#252;ssel konfigurieren:</td><td>Systemstartschl&#252;ssel bei TPM zulassen</td></tr>
696.
<tr><td>TPM-Systemstartschl&#252;ssel und -PIN konfigurieren:</td><td>Systemstartschl&#252;ssel und PIN bei TPM zulassen</td></tr>
697.
<tr><td colspan="2"></td></tr></table></td></tr></table>
698.
</div></div><div class="he3"><span class="sectionTitle" tabindex="0">Windows-Komponenten/BitLocker-Laufwerkverschl&#252;sselung/Festplattenlaufwerke</span><a class="expando" href="#"></a></div>
699.
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">
700.
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>
701.
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Kennwortverwendung f&amp;#252;r Festplattenlaufwerke konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Festplattenlaufwerke" gpmc_settingDescription="Diese Richtlinieneinstellung gibt an, ob zum Entsperren Bitlocker-gesch&amp;#252;tzter Festplattenlaufwerke ein Kennwort erforderlich ist. Wenn Sie die Kennwortverwendung zulassen, k&amp;#246;nnen Sie verlangen, dass ein Kennwort angegeben wird, Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort erzwingen und eine Mindestl&amp;#228;nge f&amp;#252;r das Kennwort konfigurieren. Damit die Einstellung f&amp;#252;r die Komplexit&amp;#228;tsvoraussetzungen wirksam wird, muss zus&amp;#228;tzlich die Gruppenrichtlinieneinstellung &amp;quot;Kennwort muss Komplexit&amp;#228;tsvoraussetzungen entsprechen&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\&amp;quot; aktiviert werden.&lt;br/&gt;&lt;br/&gt;Hinweis: Diese Einstellungen werden beim Einschalten von BitLocker erzwungen, nicht beim Entsperren eines Datentr&amp;#228;gers. BitLocker unterst&amp;#252;tzt das Entsperren eines Laufwerks mit allen auf dem Laufwerk verf&amp;#252;gbaren Schutzvorrichtungen.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Voraussetzungen erf&amp;#252;llt. Um die Verwendung eines Kennworts zu verlangen, w&amp;#228;hlen Sie die Option &amp;quot;Kennwort f&amp;#252;r Festplattenlaufwerk anfordern&amp;quot; aus. Um Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort durchzusetzen, w&amp;#228;hlen Sie die Option &amp;quot;Kennwortkomplexit&amp;#228;t anfordern&amp;quot; aus.&lt;br/&gt;&lt;br/&gt;Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t anfordern&amp;quot; ist eine Verbindung mit einem Dom&amp;#228;nencontroller erforderlich, wenn die Komplexit&amp;#228;t des Kennworts von BitLocker &amp;#252;berpr&amp;#252;ft werden soll. Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t zulassen&amp;quot; wird versucht, eine Verbindung mit einem Dom&amp;#228;nencontroller herzustellen, um zu &amp;#252;berpr&amp;#252;fen, ob die Komplexit&amp;#228;t den durch die Richtlinie vorgegebenen Regeln entspricht. Wenn jedoch keine Dom&amp;#228;nencontroller gefunden werden, wird das Kennwort unabh&amp;#228;ngig von der tats&amp;#228;chlichen Kennwortkomplexit&amp;#228;t trotzdem akzeptiert und das Laufwerk unter Verwendung dieses Kennworts als Schutzvorrichtung verschl&amp;#252;sselt. Bei &amp;quot;Kennwortkomplexit&amp;#228;t nicht zulassen&amp;quot; wird die Kennwortkomplexit&amp;#228;t nicht &amp;#252;berpr&amp;#252;ft.&lt;br/&gt;&lt;br/&gt;Kennw&amp;#246;rter m&amp;#252;ssen mindestens acht Zeichen lang sein. Um eine gr&amp;#246;&amp;#223;ere Mindestl&amp;#228;nge f&amp;#252;r das Kennwort zu konfigurieren, geben Sie die gew&amp;#252;nschte Anzahl von Zeichen in das Feld &amp;quot;Minimale Kennwortl&amp;#228;nge&amp;quot; ein.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren, darf der Benutzer kein Kennwort verwenden.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennw&amp;#246;rter mit den Standardeinstellungen unterst&amp;#252;tzt, die keine Anforderungen an die Kennwortkomplexit&amp;#228;t beinhalten und eine Mindestl&amp;#228;nge von acht Zeichen vorgeben.&lt;br/&gt;&lt;br/&gt;Hinweis: Bei aktivierter FIPS-Kompatibilit&amp;#228;t k&amp;#246;nnen keine Kennw&amp;#246;rter verwendet werden. Die Richtlinieneinstellung &amp;quot;Systemkryptografie: FIPS-konformen Algorithmus f&amp;#252;r Verschl&amp;#252;sselung, Hashing und Signatur verwenden&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen&amp;quot; gibt an, ob die FIPS-Kompatibilit&amp;#228;t aktiviert ist.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Kennwortverwendung f&#252;r Festplattenlaufwerke konfigurieren</a></td><td>Aktiviert</td><td></td></tr>
702.
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">
703.
<tr><td>Kennwort f&#252;r Festplattenlaufwerk anfordern</td><td>Aktiviert</td></tr>
704.
<tr><td>Kennwortkomplexit&#228;t f&#252;r Festplattenlaufwerke konfigurieren:</td><td>Kennwortkomplexit&#228;t zulassen</td></tr>
705.
<tr><td>Minimale Kennwortl&#228;nge f&#252;r Festplattenlaufwerk:</td><td>8</td></tr>
706.
<tr><td colspan="2">Hinweis: Sie m&#252;ssen die Richtlinieneinstellung &quot;Kennwort muss Komplexit&#228;tsvoraussetzungen entsprechen&quot; aktivieren, damit die Einstellung f&#252;r die Kennwortkomplexit&#228;t wirksam wird.</td></tr></table></td></tr></table>
707.
</div></div></div></div></div>
708.
<div class="filler"></div>
709.
<div class="he0_expanded"><span class="sectionTitle" tabindex="0">Benutzerkonfiguration (Aktiviert)</span><a class="expando" href="#"></a></div>
710.
<div class="container"><div class="he4i">Keine Einstellungen definiert</div></div>
711.
</body></html>
Das ist meine Bitlocker-GPO.
Einmal obiges Script ausgeführt, und BL schnurrt wie Schmidts Katze.
Bitte warten ..
Mitglied: DerWoWusste
14.07.2017, aktualisiert um 11:28 Uhr
Hi.

Die Policy scheint am Client nicht rechtzeitig aktiv gewesen zu sein, das ist auch schon alles. Nachträglich zu aktivieren führt natürlich nicht zum Backup - das muss man dann über das genannte Kommando machen. Rechteproblem halte ich für ausgeschlossen, da die Standardrechte es ja schon erlauben.

Ganz sicher, dass die Policy schon vor der Verschlüsselung zog? Neuen Client nehmen, nochmal bitte.
Bitte warten ..
Mitglied: beidermachtvongreyscull
14.07.2017 um 11:29 Uhr
Zitat von DerWoWusste:

Hi.

Die Policy scheint am Client nicht zu ziehen, das ist auch schon alles. nachträglich zu aktivieren führt natürlich nicht zum Backup - dass muss man dann über das genannte Kommando machen. Rechteproblem halte ich für ausgeschlossen, da die Standardrechte es ja schon erlauben.

Was mich wundert:
@emeriks hat ja das Kommando ausgeführt. Die Meldung, dass die Recovery-Info ins AD geschrieben wurde liegt ja vor, aber angekommen ist wohl nichts.

Ich nehme zurzeit auch an, dass an der GPO etwas nicht stimmt oder aber ein Rechteproblem vorliegen könnte (wobei dann das Tool einen Fehler generieren sollte).
Bitte warten ..
Mitglied: emeriks
14.07.2017, aktualisiert um 11:41 Uhr
Die Policy scheint am Client nicht rechtzeitig aktiv gewesen zu sein, das ist auch schon alles
Doch. Das von mir oben gepostete Bild vom Richtlinienergebnissatz ist gestern Abend vor dem Verschlüsseln entstanden.

Edit:
Hätte mir das BitLocker am Client in der GUI anbieten müssem, den Schlüssel im AD zu speichern? Oder macht der das automatisch?
Bitte warten ..
Mitglied: emeriks
14.07.2017, aktualisiert um 11:58 Uhr
Ich denke, Berechtigungen kann ich auch ausschließen.

Ich habe (zum Testen) dem Computer-Konto explizit Vollzugriff auf sich selbst erteilt.
"manage-bde" liefert das selbe Ergebnis. Im AD landet immer noch nichts.

Ich habe "manage-bde" unter verschiedenen Anmeldungen ausgeführt:
  • AD-Konto, Mitglied der lokalen Admins, kein Admin in Domäne --> selbes Ergebnis
  • AD-Konto, Mitglied der lokalen Admins, Konto ist Admin in Domäne --> selbes Ergebnis

Wohin zum Geier schreibt er da?

Wofür ist der Container CN=TPM Devices,DC=domain,DC=tld ?
Bitte warten ..
Mitglied: DerWoWusste
14.07.2017, aktualisiert um 13:04 Uhr
Hätte mir das BitLocker am Client in der GUI anbieten müssem, den Schlüssel im AD zu speichern? Oder macht der das automatisch?
Es ist so: wenn die Policy aktiv ist, also die Speicherung im AD erzwingt, bekommt man davon nur insoweit etwas mit, dass man nun auf "weiter" klicken kann an der Stelle, wo "weiter" sonst ausgegraut ist und man sonst gezwungen wird, den Wiederherstellungsschlüssel zu speichern oder zu drucken. Der Schlüssel wird ohne Kommentar im AD gespeichert.

Ich habe noch einen Plan B für Dich: führe doch bitte mal auf allen DCs die Suche nach dem Schlüssel durch, sowohl über die GUI, als auch über die Ausführung folgenden Powershellskriptes:
01.
do {
02.
$computers = get-adobject -Filter * | Where-Object {$_.ObjectClass -eq "msFVE-RecoveryInformation"}
03.

04.
$key = (read-host -Prompt "Enter starting portion of recovery key ID").ToUpper()
05.
$records = $computers | where {$_.DistinguishedName -like "*{$key*"}
06.
foreach ($rec in $records) {
07.
    $computer = get-adcomputer -identity ($records.DistinguishedName.Split(",")[1]).split("=")[1]
08.
    $recoveryPass = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase $computer.DistinguishedName -Properties 'msFVE-RecoveryPassword' | where {$_.DistinguishedName -like "*$key*"}
09.
    [pscustomobject][ordered]@{
10.
        Computer = $computer
11.
        'Recovery Key ID' = $rec.Name.Split("{")[1].split("}")[0]
12.
        'Recovery Password' = $recoveryPass.'msFVE-RecoveryPassword'
13.
    } | Format-List
14.
}
15.
$response = read-host "Repeat (y)?"
16.
}
17.
while ($response -eq "y")
Das Skript verlangt die Eingabe von beliebig vielen Zeichen des Identifiers. Die ersten 4 genügen.
Bitte warten ..
Mitglied: emeriks
14.07.2017 um 13:53 Uhr
Danke für das Script.

Nix. Es gibt Null Objekte der Klasse "msFVE-RecoveryInformation" in unserem AD.

Ich habe C: jetzt wieder entschlüsselt.
Habe GPRESULT eben neu überprüft. Die o.g. Einstellungen sind definitv übernommen worden. Der Computer wurde voll durchgestartet.
Und werde C: jetzt neu verschlüsseln.
Bitte warten ..
Mitglied: DerWoWusste
14.07.2017, aktualisiert um 14:26 Uhr
Tja... keine Ahnung, was da vor sich geht, aber ich schätze, erneut zu machen wird nichts bringen. Wir nutzen es mit Win10 schon ewig und damals war die Domäne noch auf 2008 - nie Probleme damit gehabt, alle Keys immer an Ort und Stelle.

Ich würde nun monitoren: wireshark im Moment der Verschlüsselung am Client und am Server, zudem procmon am Server/den Servern.
Bitte warten ..
Mitglied: emeriks
14.07.2017, aktualisiert um 14:52 Uhr
Ja, Wireshark habe ich mir schon zurechtgelegt.

Nebenbei:
Nachdem ich das Laufwerk wieder entschlüsselt hatte, hat dieses eine AD-Konto wieder kein BitLocker im Angebot.
Ein neues Benutzerprofil hat es nicht gebracht. Aber im zweiten Versuch nocheinmal ein neues Benutzerprofil und alle GPO für diesen Benutzer deaktiviert (OU mit blockierter Vererbung), und dann war es auf einmal da. Also doch irgendeine Einstellung aus den GPO. Aber keine "offensichtliche". Ich bin gerade am Datensammeln und Vergleichen mit anderen Benutzern. Bin mal gespannt, was dabei rauskommt. Ich mache mir die Arbeit, das rauszubekommen ...

Edit:
Und noch was: Ich habe noch nicht neu verschlüsselt. Abgebrochen.
Im Dialog, wo ich den Schlüssel in eine Datei speichern kann/muss, ist der Button "Weiter" solange deaktiviert, bis ich die Date gespeichert habe. Nach Deiner Aussage müsste dieser aber aktiv sein, wenn der Computer den Schlüssel selbständig im AD ablegen konnte. Habe ich das richtig verstanden?
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 14.07.2017, aktualisiert um 15:01 Uhr
Habe ich das richtig verstanden?
Vollkommen richtig verstanden. Also wird die Einstellung zwar in gpresult /h am Client angezeigt, aber greift nicht. Das ist ja sehr komisch. Teste mit anderen Clients und OS'.
Bitte warten ..
Mitglied: beidermachtvongreyscull
14.07.2017 um 15:05 Uhr
Bei unserem Windows 10 Version 1511 gab es keine Probleme in einer 2008er Domäne.
Bitte warten ..
Mitglied: emeriks
14.07.2017 um 16:13 Uhr
Mit einem anderen Win10 1703 das selbe Spiel. Schlüssel landet nicht im AD.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 14.07.2017, aktualisiert um 16:27 Uhr
Dann ist der Schlüssel wohl noch zur Prüfung bei der NSA. Teste mal mit win8.1/win7/Server xy
Bitte warten ..
Mitglied: DerWoWusste
14.07.2017 um 16:34 Uhr
Teste bitte auch einmal ohne die GPO für TPM-Sicherung.
Bitte warten ..
Mitglied: emeriks
14.07.2017, aktualisiert um 22:07 Uhr
omg! Das darf ich ja gar nicht erzählen ....

Bei den GPO wird unterschieden zwischen "Festplattenlaufwerk" und "Betriebssystemlaufwerke". Meine o.g. GPO legt für "Festplattenlaufwerke" fest. Und ich verschlüssele das OS-Laufwerk ....

Habe jetzt diese GPO auch für OS-Laufwerke eingerichtet und nun wird's auch im AD gespeichert.

Darauf aufmerksam geworden bin ich durch @beidermachtvongreyscull 's BitLocker-GPO-Html-Seite.

Zwischendurch hatte ich noch mit Win7 Ent und Win8.1 Ent getestet. Beide Mal das selbe Ergebnis.
Nebenbei bemerkt: Bei Win7 konnte das eine o.g. AD-Konto auf BitLocker zugreifen. Bei Win8.1 nicht. Für alle Test-VM gelten dieselben GPO, wie für das Notebook, um welches es eigentlich geht.

Ich danke Euch allen für Eure Hilfe!

Schönes WE noch.

E.

Edit:
Bevor ich das geändert hatte, konnte ich unter Win8.1 nicht mit
01.
manage-bde -protectors -adbackup C: -id {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
den Schlüssel hochladen. Da kam als Fehler:
FEHLER: Die Gruppenrichtlinie ermöglicht nicht das Speichern von Wiederherstellungsinformationen in Active Directory. Der Vorgang wurde nicht ausgeführt.
Wohlgemerkt die selbe GPO, bei welcher Win10 bei diesem Befehl noch behauptet hat, dass es den Schlüssel hochgeladen hat. Das ist in jedem Fall ein Bug im Win10.
Bitte warten ..
Mitglied: DerWoWusste
14.07.2017 um 23:38 Uhr
omg!...
Dein erster Screenshot hätte es uns eigentlich lehren sollen. Bei der deutschen Fassung steht da "Festplattenlaufwerke", da bin ich nicht drauf angesprungen... im englischen OS steht dort "fixed data drives" im Gegensatz zu OS drives, da wäre es mir wohl schnell aufgefallen.
Na schön, haste ja was gelernt - den Fehler immer zuerst in den simplen Dingen suchen.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Remotedesktopbenutzer - Einstellungen werden nicht gespeichert

Frage von HenereWindows Netzwerk9 Kommentare

Hallo zusammen, eine 2012er Domäne mit Win7 Clients. Ein externer Benutzer hat Remotezugriff (RDP) per VPN auf einige Clients. ...

Windows Server

Word Schnellbausteine werden nicht gespeichert

Frage von manuelwWindows Server3 Kommentare

Hallo, ich habe bei einem unserer Kunden das Problem, dass die im Word angelegten Schnellbausteine nicht gesichert werden. Es ...

Netzwerkgrundlagen

Kennwort bei der Netzwerkfreigabe wird "gespeichert"

gelöst Frage von dimaqwNetzwerkgrundlagen14 Kommentare

Es geht um eine Netzwerkfreigabe eines Ordners am NAS. Wenn man sich mit dieser Freigabe verbindet kommt die Benutzer-Passwort-Abfrage. ...

Windows 10

Anmeldedaten von Remoteverbindung wird nicht gespeichert

Frage von stacxsWindows 101 Kommentar

Hallo zusammen, die Anmeldedaten einer Remoteverbindung werden nicht gespeichert. Habe die Verbindung einmal gelöscht , es wieder angekreuzt , ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 1 TagOff Topic22 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 2 TagenOff Topic48 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 3 TagenHumor (lol)8 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 4 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Router & Routing
Portfreigabe Fritzbox - Plex usw
Frage von chkdskRouter & Routing23 Kommentare

Moin Zusammen, ich habe zu Hause eine Fritzbox 6490 Cable zu stehen und bin via DSLite connected -> also ...

Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von FrankOff Topic22 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Backup
Alles Veeam, oder was?
gelöst Frage von IT-ProBackup14 Kommentare

Hallo Kollegen, Ich blicke bei den Produktfeatures bei Veeam nicht durch. Ich würde gern mein Home-Lab mittels Veeam Produkten ...

LAN, WAN, Wireless
Welches Material ist das Richtige?
Frage von Motte990LAN, WAN, Wireless13 Kommentare

Guten Morgen Leute, ich bin aktuell damit beschäftigt in unserm neu gekauften Haus das Netzwerk einzubauen. Aktuell wurden bis ...