14
Bitlocker über Anmeldeskript GPO aktivieren bei Win 10 Clients
Hallo,
ich habe zum o.g. Thema viel gelesen, aber leider keine Lösung gefunden. Ich möchte in einer kleineren Umgebung Bitlocker automatisch per GPO an den Clients aktivieren. Hierzu wollt ich über die Computerkonfigruation per GPO ein Anmeldeskript ausführen.
Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.
Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion
Clients: Windows 10 Pro
Server: Windows 2016 (Ausführungsebene 2012 R2)
Anmeldescript: manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Falls es per Anmeldescript nicht geht oder eine Alterntive gibt, wäre ich um Tipps sehr dankbar. Vieleicht gibt es auch einen besseren
Weg.
Von einer Installation von MABA 2.5 möchte ich Abstand nehmen, da es zu oversized wäre.
Fehlermeldung:
BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:
Numerisches Kennwort:
ID: *
Kennwort:
***
FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.
HINWEIS: Wenn es nicht m”glich war, ber den Parameter "-on" Schlsselschutzvorrichtungen hinzuzufgen oder die Verschlsselung zu starten,
mssen Sie m”glicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.
ich habe zum o.g. Thema viel gelesen, aber leider keine Lösung gefunden. Ich möchte in einer kleineren Umgebung Bitlocker automatisch per GPO an den Clients aktivieren. Hierzu wollt ich über die Computerkonfigruation per GPO ein Anmeldeskript ausführen.
Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.
Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion
Clients: Windows 10 Pro
Server: Windows 2016 (Ausführungsebene 2012 R2)
Anmeldescript: manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Falls es per Anmeldescript nicht geht oder eine Alterntive gibt, wäre ich um Tipps sehr dankbar. Vieleicht gibt es auch einen besseren
Weg.
Von einer Installation von MABA 2.5 möchte ich Abstand nehmen, da es zu oversized wäre.
Fehlermeldung:
BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" [Windows]
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:
Numerisches Kennwort:
ID: *
Kennwort:
***
FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.
HINWEIS: Wenn es nicht m”glich war, ber den Parameter "-on" Schlsselschutzvorrichtungen hinzuzufgen oder die Verschlsselung zu starten,
mssen Sie m”glicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 381720
Url: https://administrator.de/contentid/381720
Printed on: April 27, 2024 at 06:04 o'clock
14 Comments
Latest comment
Hallo @derLenhart
Hilft dir das? https://ntsystems.it/post/tpm-bitlocker-schlussel-in-ad-ds-speichern
Oder von Mark Heitbrink:
https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-s ...
Grüße,
@IT-Pro
Eine GPO wurde erstellt und durch eine händische Aktivierung wird der Schlüssel auf erfolgreich, wie gewünscht im AD hinterlegt.
Hilft dir das? https://ntsystems.it/post/tpm-bitlocker-schlussel-in-ad-ds-speichern
Oder von Mark Heitbrink:
https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-s ...
Per Anmeldeskript durch GPO geht es wohl nicht, da die Scripte ja als SYSTEM ausgeführt werden. Hier fehlen dann die Rechte für die
Verschlüsselungsaktion
Verschlüsselungsaktion
Grüße,
@IT-Pro
Hi.
Dein Fehler ist lediglich, dass Du ein Anmeldeskript für geeignet hältst. Dieses läuft mit Nutzerrechten und Nutzer können nicht das OS verschlüsseln.
Nimm ein Startskript stattdessen.
Dein Fehler ist lediglich, dass Du ein Anmeldeskript für geeignet hältst. Dieses läuft mit Nutzerrechten und Nutzer können nicht das OS verschlüsseln.
Nimm ein Startskript stattdessen.
Hallo,
mein Fehler. Du hast recht, es ist natürlich in der Computerkonfiguration ein Startskript von mit hinterlegt worden. Genau an der Stelle habe ich es auch gemäß Anleitung eingesetzt und es wird auch gelesen/ausgeführt laut gpresult, aber Bitlocker ist nicht aktiviert.
Ich habe die Ausgabe den CMD-Befehlt in eine Log umgelenkt und da kommen dann die unzureichenden Rechte (siehe oben). Starte ich es manuell mit einem Benutzer mit Admin-Rechte, geht es sofort.
Ich habe es nicht in der Benutzerkonfiguration als Anmeldeskript hinterlegt.
Schönen Gruß
mein Fehler. Du hast recht, es ist natürlich in der Computerkonfiguration ein Startskript von mit hinterlegt worden. Genau an der Stelle habe ich es auch gemäß Anleitung eingesetzt und es wird auch gelesen/ausgeführt laut gpresult, aber Bitlocker ist nicht aktiviert.
Ich habe die Ausgabe den CMD-Befehlt in eine Log umgelenkt und da kommen dann die unzureichenden Rechte (siehe oben). Starte ich es manuell mit einem Benutzer mit Admin-Rechte, geht es sofort.
Ich habe es nicht in der Benutzerkonfiguration als Anmeldeskript hinterlegt.
Schönen Gruß
So so. Du hast also die Ausgabe des Startskripts umgelenkt und erhältst dort "Dem Client fehlt ein erforderliches Recht"...
Lade mal psexec runter und starte bitte eine Kommandozeile elevated und führe dort aus psexec aus:
psexec -s -i cmd
Auf der sich nachfolgend öffnenden Kommandozeile handelst Du als Systemkonto. Führe dort dann dein Startskript aus und schau Dir die Ausgabe an und zitiere diese.
Lade mal psexec runter und starte bitte eine Kommandozeile elevated und führe dort aus psexec aus:
psexec -s -i cmd
Auf der sich nachfolgend öffnenden Kommandozeile handelst Du als Systemkonto. Führe dort dann dein Startskript aus und schau Dir die Ausgabe an und zitiere diese.
Hallo, das passt dann so. Mit psexec -s -i cmd klappt die Aktivierung der Verschlüsselung.
Ich habe das so in das Skript nun eingebunden, dass der Befehl über psexec aufgerufen wird und die Verschlüsselung aktiviert sich auch.
psexec -accepteula -s -i manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Oder hast Du einen besseren Vorschlag?
Mir hat sich nur nicht erklärt, warum es jetzt funktioniert. Liegt am Schalter -i?
Run the program so that it interacts with the desktop of the specified session on the remote system. If no session is specified the process runs in the console session.....
Danke für den Tipp!
Ich habe das so in das Skript nun eingebunden, dass der Befehl über psexec aufgerufen wird und die Verschlüsselung aktiviert sich auch.
psexec -accepteula -s -i manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Oder hast Du einen besseren Vorschlag?
Mir hat sich nur nicht erklärt, warum es jetzt funktioniert. Liegt am Schalter -i?
Run the program so that it interacts with the desktop of the specified session on the remote system. If no session is specified the process runs in the console session.....
Danke für den Tipp!
Rätselhaft.
Du hast wirklich vorher ein Startskript verwendet und " "Dem Client fehlt ein erforderliches Recht"..."war die Fehlerausgabe?
Du hast wirklich vorher ein Startskript verwendet und " "Dem Client fehlt ein erforderliches Recht"..."war die Fehlerausgabe?
Hi,
ich habe es heute nochmal durchgespielt. Es war so wie beschrieben.
Wenn ich es so ausführe kommt die Meldung:
manage-bde -on C: -RecoveryPassword -SkipHardwareTest
So ging es hingegen:
psexec -accepteula -s -i manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Gediegen. Es war auch bei den anderen Geräten so, dass sich Bitlocker nicht einschaltet.
Ich war der Meinung, dass das Startskript als SYSTEM ausgeführt wird. Komisch...
ich habe es heute nochmal durchgespielt. Es war so wie beschrieben.
Wenn ich es so ausführe kommt die Meldung:
manage-bde -on C: -RecoveryPassword -SkipHardwareTest
So ging es hingegen:
psexec -accepteula -s -i manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Gediegen. Es war auch bei den anderen Geräten so, dass sich Bitlocker nicht einschaltet.
Ich war der Meinung, dass das Startskript als SYSTEM ausgeführt wird. Komisch...
Ich war der Meinung, dass das Startskript als SYSTEM ausgeführt wird
Das wird es auch. Zum Test, füg in Dein Skript bitte folgende zeile hinzu:whoamint authority\system
Ja, wird es: nt-autorit„t\system
Kann es am Schalter -i liegen von psexec?
Kann es am Schalter -i liegen von psexec?
Es ist mir ein Rätsel, wie gesagt.
-i heißt "interactive", also sichtbar. Was das nun in diesem Kontext ändern könnte - keine Ahnung. Aber ich teste das gleich mal aus.
-i heißt "interactive", also sichtbar. Was das nun in diesem Kontext ändern könnte - keine Ahnung. Aber ich teste das gleich mal aus.
Funktiniert hier problemlos.
manage-bde -on c: -rp -s -used
Kurze Frage: Welches Betriebssystem/Funktionsupdate hast Du?
Danke für die Mühe.
Danke für die Mühe.
Ahhh... Schau mal hier
https://www.reddit.com/r/sysadmin/comments/8i6v32/bitlocker_with_adstore ...
So uns so ähnlich, scheint es Probleme in 1803 zu geben, wenn ein lokales Konto (wohl auch das Systemkonto) versucht BitLocker zu aktivieren.
Weiter unten ist das mit psexec dann beschrieben, in der Art, wie ich es in etwa verwende.
Klingt komisch, ist aber so. Wohl ein Bug...
https://www.reddit.com/r/sysadmin/comments/8i6v32/bitlocker_with_adstore ...
So uns so ähnlich, scheint es Probleme in 1803 zu geben, wenn ein lokales Konto (wohl auch das Systemkonto) versucht BitLocker zu aktivieren.
Weiter unten ist das mit psexec dann beschrieben, in der Art, wie ich es in etwa verwende.
Klingt komisch, ist aber so. Wohl ein Bug...
Dieser "Bug" ist eine Umstellung der Arbeitsweise von BL, hat aber rein gar nichts mir Deinem Problem zu tun.
Ich verwende 1803.
Ich verwende 1803.