Я пытаюсьиспользовать GP для хранения информации TPM в ADЯ проверил, что схема содержит правильное свойство объекта, и проверил, что свойство и ACE присутствуют на данном объекте компьютера.
Я заметил, что в последней версии ADMX, похоже, Require TPM back to AD DSотсутствует в GP Turn on TPM backup to Active Directory Domain Services, замененный на утверждение:
If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.
Я использую и то, и другое dsa.msc's Attribute Editor, adsiedit.mscа также скрипт Get-TPMOwnerInfo.vbsдля проверки наличия данных после сброса пароля TPM, но безуспешно.
Почему я не могу хранить информацию о TPM в AD?
[Обновления по поводу комментариев]
Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?
Как указано вдокументация, после применения GP ( Turn on TPM backup to Active Directory Domain Services) к клиентскому компьютеру:
TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.
На данный момент я не уверен, где посмотреть связанные с этим ошибки... кроме того, что я не вижу обновленной информации TPM, хранящейся в msTPM-OwnerInformationатрибуте объекта компьютера. Чтобы было ясно, проблема в том, что информация TPM не хранится в AD, а я хотел бы, чтобы она хранилась в AD.
What operating system(s) are running on the machine(s) with the TPM(s)?
Я использую Windows 8.1, но буду ориентироваться как на Windows 8.1, так и на Windows 7.
[Дополнительная информация]
Обратите внимание, что вСправочник параметров групповой политикиследующие ключи реестра отражают приложение GP:
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1
Я выполнил следующее:
- проверьте наличие записи ACE
SELFсWrite msTPM-OwnerInformationустановленным разрешением для объекта компьютера в AD. - эти значения реестра устанавливаются так, как и ожидается на клиенте
- Затем я использую tpm.msc для сброса пароля.
- Для параметра не установлено значение.
msTPM-OwnerInformation
решение1
Оказывается, функция сохранения информации TPM в AD (или попытка сохранения информации TPM в AD) происходит только тогда, когда выизменятьпароль. Я не менял пароль, а использовал тот же пароль.
Из-за того, что, к сожалению, наша схема AD — супер-пупер старая школа [похоже на Server 2008 SP1, даже не R2], я использовал BitLockerTPMSchemaExtension.ldf(доступноздесь) для расширения схемы с целью включения свойств:
- msTPM-Информация о владельце
- msFVE-RecoveryGuid
- msFVE-RecoveryPassword
- msFVE-RecoveryInformation
- msFVE-VolumeGuid
- msFVE-KeyPackage
(предоставлено и стоит отметить, что это msTPM-OwnerInformationуже имело место)
Итак, ожидая, что это сработает без проблем, я приступил к делуизменятьпароль TPM и сразу же получил код ошибки There is no such object on the server (error code: 0x80072030).с указанием конкретной ошибкиCannot change TPM owner password.
Проще говоря, msTPM-OwnerInformationатрибут используется в Windows 7 и ниже, но Windows 8+ (которая была моим тестовым компьютером) использует msTPM-TPMInformationForComputerто, что более подробно обсуждается вэта ветка MSFT TechNet.
Чтобы решить эту проблему, следуйтедокументация MSFT, расширяя схему AD с помощью TpmSchemaExtension.ldfи TpmSchemaExtensionACLChanges.ldf.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .