批量部署BitLocker
本方案仅在具有TPM2.0芯片的PC生效
DC开启BitLocker组件
DC服务器管理器中添加角色功能——BitLocker网络解锁
脚本编写
因ps脚本使用组策略推送无法实现管理员身份运行,则需要以bat批处理的形式运行ps1脚本来执行关机脚本。
1 | @echo off |
(上述脚本为批处理代码)
组策略设定
- DC组策略编辑器创建BitLocker组合设定的GPO
GPO—计算机配置—策略—管理模板—Windows组件—BitLocker驱动器加密 —将BitLocker恢复信息储存在active directory域服务中改为已启用 。
GPO—计算机配置—策略—管理模板—Windows组件—BitLocker驱动器加密—操作系统驱动器—选择如何才能恢复BitLocker保护的操作系统驱动器改为已启用
新建一个关机执行脚本GPO执行写好的脚本
实施
将需上述两条GPO链接到需要开启BitLocker的OU
客户端执行gpupdate /force更新组策略
执行关机/重启
查看UNC路径下是否存在以计算机命名的txt文本文件,恢复密钥是否重定向
检查DC PC账户是否已经备份BitLocker 恢复密钥