Ich versucheVerwenden Sie GP, um TPM-Informationen in AD zu speichern. Ich habe überprüft, dass das Schema die richtige Objekteigenschaft enthält, und dass die Eigenschaft und der ACE auf dem angegebenen Computerobjekt vorhanden sind.
Mir ist aufgefallen, dass dies beim neuesten ADMX offenbar Require TPM back to AD DSim GP fehlt Turn on TPM backup to Active Directory Domain Servicesund durch die folgende Anweisung ersetzt wurde:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Ich verwende beides und das Skript dsa.msc's Attribute Editor, um nach dem Zurücksetzen des TPM-Kennworts das Vorhandensein der Daten zu überprüfen, jedoch ohne Erfolg.adsiedit.mscGet-TPMOwnerInfo.vbs
Warum kann ich TPM-Informationen nicht in AD speichern?
[Updates zu Kommentaren]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Wie angegeben inDokumentation, nachdem ein GP ( Turn on TPM backup to Active Directory Domain Services) auf einen Client-Computer angewendet wurde:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
Ich bin mir an diesem Punkt nicht sicher, wo ich die entsprechenden Fehler sehen kann ... außer, dass ich die aktualisierten TPM-Informationen nicht im msTPM-OwnerInformationAttribut des Computerobjekts gespeichert sehe. Um es klar zu sagen: Das Problem besteht darin, dass die TPM-Informationen nicht in AD gespeichert werden, und ich möchte sie gerne in AD gespeichert haben.
What operating system(s) are running on the machine(s) with the TPM(s)?
Ich verwende Windows 8.1, konzentriere mich aber sowohl auf Windows 8.1 als auch auf Windows 7.
[zusätzliche Information]
Beachten Sie, dass indie Referenz zu Gruppenrichtlinieneinstellungenspiegeln die folgenden Registrierungsschlüssel die GP-Anwendung wider:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Ich habe Folgendes durchgeführt:
- Überprüfen Sie, ob für das Computerobjekt in AD ein ACE
SELFmit der festgelegten Berechtigung vorhanden ist .Write msTPM-OwnerInformation - Diese Registrierungswerte werden auf dem Client wie erwartet eingestellt
- Ich benutze dann tpm.msc, um das Passwort zurückzusetzen
- Es ist kein Wert festgelegt für
msTPM-OwnerInformation
Antwort1
Es stellt sich heraus, dass die Funktion zum Speichern der TPM-Informationen in AD (oder der Versuch zum Speichern der TPM-Informationen in AD) nur dann auftritt, wenn SieändernPasswort. Ich habe das Passwort nicht geändert, sondern dasselbe Passwort verwendet.
Aufgrund der Tatsache, dass unser AD-Schema beschämenderweise super-duper old school ist [sieht aus wie Server 2008 SP1, nicht einmal R2], habe ich verwendet BitLockerTPMSchemaExtension.ldf(verfügbarHier), um das Schema um die folgenden Eigenschaften zu erweitern:
- msTPM-OwnerInformation
- msFVE-WiederherstellungsGuid
- msFVE-Wiederherstellungskennwort
- msFVE-Wiederherstellungsinformationen
- msFVE-VolumeGuid
- msFVE-Schlüsselpaket
(zugegeben und erwähnenswert, dass dies msTPM-OwnerInformationbereits vorhanden war)
In der Erwartung, dass dies ohne Probleme funktionieren würde, fuhr ich fort,änderndas TPM-Passwort und erhielt sofort den Fehlercode There is no such object on the server (error code: 0x80072030).mit der spezifischen FehlermeldungCannot change TPM owner password.
Ganz einfach, das msTPM-OwnerInformationAttribut wird von Windows 7 und darunter verwendet, aber Windows 8+ (was meine Test-Box war), verwendet msTPM-TPMInformationForComputerwie ausführlicher indieser MSFT TechNet-Thread.
Um dieses Problem zu lösen, folgen Siedie MSFT-Dokumentation, Erweiterung des AD-Schemas mit TpmSchemaExtension.ldfund TpmSchemaExtensionACLChanges.ldf.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .