Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

DerWoWusste
Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an.
Ich zeige zunächst mal, wie das gemacht würde:

1
2
3

Das Dumme ist nur: damit der Supporter hier etwas auslesen kann, braucht er „Full Control“!
Ebenso arbeitet der Wizard nur auf OU-Ebene und kann nicht granular pro Rechner Rechte setzen, falls gewünscht.

Er kann somit diese Keys nicht nur lesen, sondern (via ADSI-Edit oder Kommandos) auch löschen und somit (versehentlich) großen Schaden anrichten. Dass hier keine Leserechte ausreichen, liegt an einem interessanten Umstand: Microsoft benutzt zum Absichern der Recoverykeys das sogenannte „Confidentiality Bit“. Ich zitiere aus https://blog.nextxpert.com/2011/01/11/how-to-delegate-access-to-bitlocke ... :

All objects created with the Confidentiality bit set to 1, are only available for users, who have full control access to that object. These objects are hidden for other users in Active Directory

Das ist nicht schön, denn der Delegation of Control Wizard kann dieses Bit nicht setzen oder entfernen, sprich: entweder, wir vergeben Vollzugriff, oder der Supporter kommt gar nicht ran - etwas dazwischen bietet der Wizard nicht!

Doch es gibt einen Ausweg:
Man kann die LDP.exe von 2019 Server nutzen, um Leserechte und „Control Access“ zu erteilen, so dass man genau das Gewünschte erreicht: „nur lesen, sonst nichts“.

Die LDP.exe von 2016 Server kann seltsamerweise hierzu nicht genutzt werden. Für diese Serverversion muss man ldp.exe aus diesem Download extrahieren und damit arbeiten: https://web.archive.org/web/20200803205237/https://download.microsoft.co ...

Ich liefere noch die passenden Screenshots. Zunächst LDP.exe starten, Connect – OK – Bind – OK – Tree (CTRL-T) – OK
Dann zur OU navigieren, auf die Rechte gesetzt werden sollen und dem folgenden Bild folgen:

4

Im Descriptor dann DACL anklicken und „add trustee“ und z.B. wie im Bild einstellen:

ldp2

Dann OK und zuletzt "Update" klicken.

Damit haben wir „yourdom\someuser“ Leserechte auf die Recoverykeys aller Computer in der OU „Server“ gegeben.
Erfreulicherweise kann man über ldp.exe die OU weiter aufklappen und das Selbe auf Rechnerebene und sogar auf Partitionsebene/Keyebene machen. Sprich, man könnte einem Supporter den Zugriff auf den Recoverykey lediglich einer einzelnen Partition eines einzelnen Servers erteilen.

Content-Key: 491520

Url: https://administrator.de/contentid/491520

Ausgedruckt am: 23.01.2022 um 20:01 Uhr

Mitglied: DerWoWusste
DerWoWusste 29.09.2019 um 12:50:20 Uhr
Goto Top
Edit: ich musste eine Korrektur vornehmen: das letzte Bild war schlicht falsch und hätte nicht zum erwünschten Ergebnis geführt. Ich muss beim Testen verschiedene Screenshots gemacht haben und hatte hier den falschen eingefügt :-| face-plain
Mitglied: nekku6
nekku6 17.12.2021 um 04:00:43 Uhr
Goto Top
Hi, sorry for writing in English (I'm Russian and I've reached my language cap at English).
I found the link to this post on technet. And the original question involved PS. I've also read your article on Expert-Exchange - neither of them indicates the PS approach, though the EE one mentioned that it's possible with some complicated scripting.
Could you please nudge me in the right direction on how to replicate in PS what you describe for LDP.exe in your EE article?
Does the technet's OP have a correct idea:
The reasoning behind my question is that I need to enable this for 83 different OUs and you can imagine how unwilling one might be to do that in GUI, especially if you're so used to extensive use of foreach here and there.
Mitglied: DerWoWusste
DerWoWusste 17.12.2021 um 09:33:15 Uhr
Goto Top
Hi nekku.

I am willing to help you, but I suggest to open a question here.
You may write in english, no problem.

Please add a description why you are trying to automate this the way you do. Normally, this is used by admins that would like to delegate permissions to their holiday substitution and only for a few machines, not for several OUs, so no automation is needed.
Mitglied: nekku6
nekku6 20.12.2021 aktualisiert um 22:56:23 Uhr
Goto Top
Hi DerWoWusste,
Thank you! I've posted the question here: Bitlocker recovery key delegation via Powershell
Heiß diskutierte Beiträge
question
Alternative für MS TeamsBlackDevilVor 1 TagFrageVideo & Streaming5 Kommentare

Servus Zusammen, ich arbeite eigentlich grundsätzlich remote, was eben auch Kundengespräche und -beratung inkludiert. Bisher mache ich das über MS Teams, was im Grundsatz auch ...

question
Analog Telefonanschluss aufs Netzwerk bringenpeter91gVor 1 TagFrageISDN & Analoganschlüsse13 Kommentare

Hallo zusammen, ich habe aktuell ein Router von meinem Provider welcher im Bridge-Modus geschalten ist. Dadurch kann ich die Festnetztelefonie nur über den Analog-Anschluss am ...

question
Verständnisproblem SubnettingKarolaVor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...

question
Syntax zum Mappen einer Freigabe auf einem RDSH gelöst mtcmtcVor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, ich starte normalerweise eine rdp-Datei um mich vom HomeOffice auf meinen RDSH-Client in der Firma zu verbinden. -> also kein Problem Auf diesem ...

question
Apps mit riesigen Datenbank verbindenBella21Vor 1 TagFrageEntwicklung4 Kommentare

Hallo alle zusammen, ich suche nach einer Lösung für einen APP. Der Datenbank ist riesig mehr als 10GB, da die komplette Datenbank nicht auf das ...

question
Umgestaltung HeimnetzwerkPaulePilsVor 1 TagFrageNetzwerke1 Kommentar

Hallo zusammen, ich bin seit heute neu im Forum, deshalb hoffe ich, dass meine Beitrag an der richtigen Stelle platziert ist :-) Ich würde mich ...

question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 10 StundenFrageRouter & Routing4 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
Hyper V Maschine (Windows 10 Pro) auf Server2022 langsam gelöst factxyVor 1 TagFrageHyper-V6 Kommentare

Hallo, ich habe einen neuen Server2022 augesetzt und dort von einem 2016er Server eine Windows10 HyperV erst exportiert dann am 2022er importiert. Soweit mit gleicher ...