Eu estou tentandouse GP para armazenar informações TPM no AD. Verifiquei se o esquema contém a propriedade de objeto adequada e verifiquei se a propriedade e a ACE estão presentes no objeto de computador fornecido.
Percebi que com o ADMX mais recente parece que Require TPM back to AD DSestá faltando no GP Turn on TPM backup to Active Directory Domain Services, substituído pela declaração:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Eu uso os dois dsa.msc's Attribute Editore adsiedit.msco script Get-TPMOwnerInfo.vbspara verificar a presença dos dados, após redefinir a senha do TPM, sem sorte.
Por que não consigo armazenar informações de TPM no AD?
[Atualizações sobre: comentários]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Como afirmado emdocumentação, depois de aplicar um GP ( Turn on TPM backup to Active Directory Domain Services) a um computador cliente:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
Não tenho certeza, neste momento, de onde ver os erros relacionados... além de não ver as informações atualizadas do TPM armazenadas no msTPM-OwnerInformationatributo do objeto do computador. Para ser claro, o problema é que as informações do TPM não estão sendo armazenadas no AD e eu gostaria que fossem armazenadas no AD.
What operating system(s) are running on the machine(s) with the TPM(s)?
Estou executando o Windows 8.1, mas terei como alvo o Windows 8.1 e o Windows 7.
[informação adicional]
Observe que ema Referência de configurações de política de grupo, as seguintes chaves de registro refletem o aplicativo GP:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Eu executei o seguinte:
- verifique se existe uma ACE
SELFcom aWrite msTPM-OwnerInformationpermissão definida no objeto de computador no AD. - esses valores de registro são definidos conforme esperado no cliente
- Eu então uso tpm.msc para redefinir a senha
- Não há nenhum valor definido para o
msTPM-OwnerInformation
Responder1
Acontece que a função de armazenar as informações do TPM no AD (ou a tentativa de armazenar as informações do TPM no AD) só ocorre quando vocêmudarsenha. Eu não estava alterando a senha, mas usando a mesma senha.
Devido ao fato de que vergonhosamente nosso esquema AD é super old school [parece o servidor 2008 SP1, nem mesmo R2], eu usei BitLockerTPMSchemaExtension.ldf(disponívelaqui) para estender o esquema para incluir as propriedades:
- msTPM-Informações do Proprietário
- msFVE-RecoveryGuid
- msFVE-Recuperação Senha
- msFVE-RecoveryInformações
- msFVE-VolumeGuid
- msFVE-KeyPackage
(concedido e vale a pena notar que msTPM-OwnerInformationjá estava presente)
Então, esperando que isso funcionasse sem problemas, comecei a realmentemudara senha do TPM e recebeu imediatamente o código de erro There is no such object on the server (error code: 0x80072030).com o erro específicoCannot change TPM owner password.
Muito simplesmente, o msTPM-OwnerInformationatributo é usado pelo Windows 7 e versões anteriores, mas o Windows 8+ (que era minha caixa de teste) é usado msTPM-TPMInformationForComputerconforme discutido mais detalhadamente emeste tópico do MSFT TechNet.
Para resolver este problema, sigaa documentação da MSFT, estendendo o esquema do AD usando TpmSchemaExtension.ldfe TpmSchemaExtensionACLChanges.ldf.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .