jessicar
Goto Top

PowerShell Fehlermeldung

Hallo zusammen,

ich bin aktuell dabei alle unsere BitLocker Wiederherstellungsschlüssel im AD zu sichern.
Im AD habe ich den notwendigen Reiter hierfür bereits ergänzt und neue BitLockerverschlüsselungen werden hier auch richtig übertragen.
Jedoch klappt dies nicht bei bestehenden BitLocker Schlüsseln.

Ich habe mir hier 2 PowerShell Befehle aus dem Internet herausgesucht, die den Wiederherstellungsschlüssel nachträglich hinterlegen sollen:

manage-bde -protectors -get c:
manage-bde -protectors -adbackup c: -id "{ID des numerischen Kennwortes}"

Beim 2. Befehl kommt folgende Fehlermeldung: (Der 1. Befehl funktioniert)

FEHLER: Ein Fehler ist aufgetreten (Code 0x800401f3):
Ungültige Klassenzeichenfolge

PowerShell wird als Admin ausgeführt.
Die Gruppenrichtlinie für die Speicherung des Wiederherstellungsschlüssels im AD ist aktiviert. (Wiederherstellungskennwörter und Schlüsselpakete)

Vielleicht kann hier ja jemand weiterhelfen.

Dankeschön
Jessi

Content-ID: 7448110969

Url: https://administrator.de/contentid/7448110969

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

em-pie
em-pie 07.06.2023 um 10:30:03 Uhr
Goto Top
Moin,

manage-bde -protectors -adbackup c: -id "{ID des numerischen Kennwortes}"
vermutlich, weil du statt '' (zwei Hochkommata) zwei Anführungszeichen verwendet hast?

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'  
DerWoWusste
DerWoWusste 07.06.2023 aktualisiert um 10:40:07 Uhr
Goto Top
Moin.

PowerShell wird als Admin ausgeführt
Welcher Admin denn? Nicht jeder lokale Admin darf Recoverykeys ins AD schreiben. Die Syntax ist korrekt und die Fehlermeldung deutet nicht auf ein rechteproblem hin, aber dennoch: teste es mit einem Domänennutzer, der lokaler Admin ist, nicht mit einem lokalen Nutzer.

Auch folgender Batchcode macht das Backup des numerischen Kennwortes von c:, teste den auch:
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b  
Oder dieser Powershellcode:
Get-BitLockerVolume | ForEach-Object {Backup-BitLockerKeyProtector -MountPoint $_.MountPoint -KeyProtectorId $_.KeyProtector[1].KeyProtectorId}
JessicaR
JessicaR 07.06.2023 um 10:52:56 Uhr
Goto Top
Dankeschön für die Rückmeldung.
Der 2. PowerShellcode hat geklappt.
Genutzt habe ich unseren Domänenadmin.
DerWoWusste
DerWoWusste 07.06.2023 um 11:08:30 Uhr
Goto Top
Schön. Aber...

Genutzt habe ich unseren Domänenadmin.
Und wieso darf der sich auf den Clients anmelden? Das solltest Du nicht zulassen. Immer eigene Clientadmins nutzen.
7426148943
7426148943 07.06.2023 aktualisiert um 11:48:27 Uhr
Goto Top
Zitat von @JessicaR:
Der 2. PowerShellcode hat geklappt.
Der erste klappt auch, nur ist der durch die doppelten Prozentzeichen nur für die Ausführung in einer Batchdatei geeignet, für das direkte Ausführen in einer CMD müssen die doppelten Prozentzeichen (%%) durch einfache(%) ersetzt werden, das hast du vermutlich dazu nicht im Hinterkopf gehabt.

Zeppel