windows 域环境下批量部署bitlocker

批量部署BitLocker

---

本方案仅在具有TPM2.0芯片的PC生效

DC开启BitLocker组件

DC服务器管理器中添加角色功能——BitLocker网络解锁

脚本编写

因ps脚本使用组策略推送无法实现管理员身份运行，则需要以bat批处理的形式运行ps1脚本来执行关机脚本。

@echo off
for /f "delims=:" %%i in ('findstr /n "^:ps1$" "%~f0"') do (
	more +%%i "%~f0" > "%temp%\bitlocker.ps1"
)
powershell -executionpolicy remotesigned -file "%temp%\bitlocker.ps1"
goto :eof

:ps1
get-bitlockervolume | find `"Off`"
if ($? -eq $true) {
    net use \\UNC路径 "password" /user:domain\username  
    manage-bde -on C: -RecoveryPassword >> \\UNC路径\$env:COMPUTERNAME.txt
}
else {
    exit
}

（上述脚本为批处理代码）

组策略设定

1. DC组策略编辑器创建BitLocker组合设定的GPO

2. GPO—计算机配置—策略—管理模板—Windows组件—BitLocker驱动器加密 —将BitLocker恢复信息储存在active directory域服务中改为已启用 。

3. GPO—计算机配置—策略—管理模板—Windows组件—BitLocker驱动器加密—操作系统驱动器—选择如何才能恢复BitLocker保护的操作系统驱动器改为已启用

4. 新建一个关机执行脚本GPO执行写好的脚本

   

   实施

   1. 将需上述两条GPO链接到需要开启BitLocker的OU

   2. 客户端执行gpupdate /force更新组策略

   3. 执行关机/重启

   4. 查看UNC路径下是否存在以计算机命名的txt文本文件，恢复密钥是否重定向

      

   5. 检查DC PC账户是否已经备份BitLocker 恢复密钥

   6.