estoy intentandouse GP para almacenar información de TPM en AD. Verifiqué que el esquema contiene la propiedad de objeto adecuada y verifiqué que la propiedad y el ACE estén presentes en el objeto de computadora dado.
Me di cuenta de que con el último ADMX, parece que Require TPM back to AD DSfalta en el GP Turn on TPM backup to Active Directory Domain Services, reemplazado por la declaración:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Utilizo ambos dsa.msc's Attribute Editory adsiedit.mscel script Get-TPMOwnerInfo.vbspara comprobar la presencia de los datos, después de restablecer la contraseña del TPM, sin suerte.
¿Por qué no puedo almacenar información de TPM en AD?
[Actualizaciones sobre: comentarios]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Como se indica endocumentación, después de aplicar una GP ( Turn on TPM backup to Active Directory Domain Services) a una computadora cliente:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
No estoy seguro, en este punto, de dónde ver los errores relacionados... aparte de que no veo la información actualizada del TPM almacenada en el msTPM-OwnerInformationatributo del objeto de la computadora. Para ser claros, el problema es que la información del TPM no se almacena en AD y me gustaría almacenarla en AD.
What operating system(s) are running on the machine(s) with the TPM(s)?
Estoy ejecutando Windows 8.1, pero me enfocaré tanto en Windows 8.1 como en Windows 7.
[información adicional]
Tenga en cuenta que enla referencia de configuración de directiva de grupo, las siguientes claves de registro reflejan la aplicación GP:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Realicé lo siguiente:
- verifique que haya una ACE
SELFcon elWrite msTPM-OwnerInformationpermiso establecido en el objeto de computadora en AD. - Estos valores de registro se establecen como se esperaba en el cliente.
- Luego uso tpm.msc para restablecer la contraseña.
- No hay ningún valor establecido para el
msTPM-OwnerInformation
Respuesta1
Resulta que la función de almacenar la información de TPM en AD (o el intento de almacenar la información de TPM en AD) solo ocurre cuandocambiarcontraseña. No estaba cambiando la contraseña sino usando la misma contraseña.
Debido al hecho de que, vergonzosamente, nuestro esquema de AD es de la vieja escuela [parece el servidor 2008 SP1, ni siquiera R2], utilicé BitLockerTPMSchemaExtension.ldf(disponibleaquí) para ampliar el esquema para incluir las propiedades:
- msTPM-Información del propietario
- msFVE-RecoveryGuid
- msFVE-RecuperaciónContraseña
- msFVE-RecoveryInformation
- msFVE-VolumeGuid
- Paquete de claves msFVE
(concedido y vale la pena señalar que msTPM-OwnerInformationya estaba presente)
Entonces, esperando que esto funcionara sin problemas, procedí acambiarla contraseña de TPM e inmediatamente recibió el código de error There is no such object on the server (error code: 0x80072030).con el error específicoCannot change TPM owner password.
Muy simple, el msTPM-OwnerInformationatributo lo usa Windows 7 y versiones anteriores, pero Windows 8+ (que era mi cuadro de prueba) lo usa msTPM-TPMInformationForComputercomo se explica más detalladamente eneste hilo de MSFT TechNet.
Para resolver este problema, sigala documentación de MSFT, ampliando el esquema AD usando TpmSchemaExtension.ldfy TpmSchemaExtensionACLChanges.ldf.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .