noobministrator
Goto Top

Windows 10 BitLocker GPO unter Windows Server 2012 R2

Hallo zusammen,

zur Zeit befasse ich mich mit den GPOs zur Bitlockerverschlüsselung auf unserem Server 2012 R2.
Hintergrund ist - Ich möchte eine GPO ausrollen, in der festgelegt ist, das alle WIndows 10 (1803 und älter) Computer eine Bitlockerverschlüsselung mit TPM bekommen und das der Schlüssel in der AD abgelegt wird.

Jetzt habe ich alle Einstellungen in der Gruppenrichtlinienverwaltung vorgenommen, nur finde keine Vorlage für Windos 10.
Windows 7, sowie Server 2012 und ältere werden unterstützt.

Ich habe bei Microsoft auch schon die aktuellsten Tamplates heruntergeladen und bei uns eingefügt. Vorlagen für Edge etc. finde ich.


Jetzt kommt meine Frage: Ist es den eig. grundsätzlich möglich eine GPO mit BitLockerverschlüsselung für Windows 10 unter Server 2012 R2 zu erstellen? Und wenn ja, wie?

Vielen Dank schon mal für die Untersützung. face-smile

Content-ID: 382851

Url: https://administrator.de/contentid/382851

Ausgedruckt am: 14.11.2024 um 23:11 Uhr

emeriks
emeriks 09.08.2018 aktualisiert um 13:13:54 Uhr
Goto Top
Hi,
schaue auf einem Win10 Client lokal unter %Systemroot%\PolicyDefinitions.
Entweder RSAT auf einem Win10 installieren und dort die GPO bearbeiten.
Oder die Dateien aus dem lokalen PolicyDefinitions in den gleichen Ordner auf den Computer kopieren, wo Du die GPO bearbeitest.
Oder besser noch einen Central Store für PolicyDefinitions in der Domäne anlegen und dort alle ADMX und ADML in den aktuellsten Versionen bereitstellen.

E.
DerWoWusste
Lösung DerWoWusste 09.08.2018 um 13:58:57 Uhr
Goto Top
Hi.

Du möchtest festlegen, dass alle WIndows 10 (1803 und älter) Computer eine Bitlockerverschlüsselung mit TPM bekommen...
Das geht nicht, man kann nicht per GPO den Start der Verschlüsselung erzwingen, falls Du das meinst. Dafür müsstest Du ein Startskript nehmen, oder MBAM nutzen (letzteres is für Volumenlizenzkunden kostenlos).

Skript wäre simpel:
manage-bde -on c: -used -s
Noobministrator
Noobministrator 15.08.2018 um 16:27:01 Uhr
Goto Top
Hallo zusammen,

danke für eure Antwort und sorry für meine späte.

@emeriks, wir haben einen Centrale Store, dort habe ich die aktuellsten tamplates hinkopiert. Ich habe mir sogar welche von einem Server 2016 kopiert und welche von einem Windows 10-1803. Leider taucht die Vorlage nicht im Editor der Gruppenrichtlinien auf.
Zugleich habe ich es auch über die RSAT probiert, funktioniert auch nicht face-sad

Habe mal zwei Bilder hinzuefügt um es euch vllt Bildlicher zu machen face-smile
1
2

@DerWoWusste, die Aktivierung der Verschlüsselung wird im nachhinein per Hand oder per Script angestoßen. face-smile

Vielen Dank face-smile
DerWoWusste
DerWoWusste 15.08.2018 um 16:54:35 Uhr
Goto Top
Die Vorlage gilt für mindestens2012/Win8 - das ist das, was ich bei mir auf 2016/RSAT von Win10 auch sehe und somit in Ordnung.
Noobministrator
Noobministrator 16.08.2018 um 10:02:49 Uhr
Goto Top
Dann verstehe ich das ganze nicht so wirklich. face-confused

Es muss doch eine Möglichkeit geben, die Windows 10 PCs mit einer Bitlocker GPO über einen Server 2012 R2 auszustatten. Oder sehe ich das etwas falsch?
DerWoWusste
Lösung DerWoWusste 16.08.2018 um 10:19:27 Uhr
Goto Top
Ja, mach es doch einfach, die angezeigten GPOs gelten auch für Windows 10, denn Win10 IST doch eingeschlossen in "mindestens Windows 8".
Noobministrator
Noobministrator 17.08.2018 um 15:03:48 Uhr
Goto Top
Ja die Argumentation macht sinn.
Keine Ahnung wieso ich davon ausgegangen bin das unter Server 2012 auch eine Vorlage für Windows 10 sein muss /sollte.

Außer ein gpresult, gibt es noch eine andere Möglichkeit um zu sehen wie weit eine GPO kommt bzw. wo eine GPO greift? Vllt von der Serverseite aus?
Ich habe den Test PC in der Test OU wo die GPO drauf verknüpft und erzwungen wird. Mache ich ein gpresult, wird die GPO nicht mal angezeigt, geschweige denn als abgewiesen angezeigt. Die GPO ist auf ein Computerobjekt konfiguriert und das Computerobjekt ist auch berechtigt diese GPO zu Lesen.
DerWoWusste
Lösung DerWoWusste 17.08.2018 um 15:06:44 Uhr
Goto Top
Mach auf dem Test-PC auf einem elevated command prompt einmal
gpupdate
und dann shchau erneut mit gpresult nach, ob die GPO nun greift.

Erzwingen musst und solltest Du GPOs in der Regel nie.
Noobministrator
Noobministrator 17.08.2018 um 15:07:59 Uhr
Goto Top
Gut, ich werde deinen Tipp umsetzten und dir dann von dem Ergebnis berichten! face-smile
Noobministrator
Noobministrator 19.08.2018 um 12:57:30 Uhr
Goto Top
Also, das Problem ist gelöst.

Mein Brett vorm Kopf war zu groß. Ich habe es gelöst, indem ich die RSAT Tools über den WIndows 10 Computer verwendet habe.
Ich benötige wirklich nicht die Vorlage wo explizit "Windows 10" vermerkt ist.
Zugleich hat es mir umso mehr etwas geholfen einfach mal die CMD als Administrator auszuführen.


Vielen Dank für die tolle Unterstützung.