如何自动将 BitLocker 恢复密钥存储到 AD (Active Directory)。

, 最后更新： 2024 年 9 月 30 日

本指南包含有关如何在启用 BitLocker 保护的任何域计算机上强制 Windows 自动将 BitLocker 恢复密钥和密码存储到 Active Directory (AD) 的分步说明。

如果您想要保护您的域笔记本电脑和台式电脑免遭未经授权的访问（例如，以防被盗），一个好的做法是在所有此类计算机上启用 BitLocker 加密，尤其是在您的场所之外使用的计算机。

但由于在商业环境中手动管理 BitLocker 恢复密钥很困难，因此在本指南中，我们将了解当您在加入域的计算机上启用 BitLocker 保护时，如何强制 Windows 将恢复密钥和密码备份到 AD，以及如何需要时查看 AD 中的 BitLocker 数据（ID 和密码）。此过程可确保安全存储恢复密钥，使管理员在需要时可以轻松访问它们。

如何自动将 BitLocker 恢复密钥和密码备份到 Active Directory。

要将 BitLocker 恢复密钥/密码自动保存到 Active Directory (AD)：

第 1 部分：配置 Active Directory 以存储 BitLocker 数据。

步骤 1. 安装 BitLocker 驱动器加密功能。

1.在AD域服务器上，打开服务器管理器然后单击添加角色和功能。

2.选择基于角色或基于功能的安装然后单击下一个。

3.在“服务器选择”选项中，选择您的域服务器并单击下一个。

4.点击下一个在服务器角色。

5a.在特征窗口，选择BitLocker 驱动器加密和…

5b....然后选择添加功能安装 BitLocker 驱动器加密所需的所有功能以及管理工具。

5c.点击下一个再次继续。

6.最后点击安装安装 BitLocker 驱动器加密功能。

8.功能安装完成后，单击结束和重新启动服务器。

步骤 2. 创建一个新的 GPO 以在 AD 中存储 BitLocker 密钥。

执行上述步骤后，继续配置 Active Directory，以通过组策略自动将 BitLocker 密钥/密码从域计算机备份到 AD。

1.打开服务器管理器并从工具菜单打开组策略管理。

2.在组策略管理器中，编辑默认域策略或为整个域或仅为包含要在 AD 中存储 BitLocker 密钥的计算机的 OU 创建新的组策略。*

* 笔记：在此示例中，我们为“工作站”OU 创建一个新的 GPO，其中包含启用 BitLocker 加密的所有域计算机。

3. 右键单击并选择在此域中创建一个 GPO，然后将其链接到此处...

4.将新 GPO 命名为“将 BitLocker 密钥存储在 Active Directory 中”并点击好的。

5.现在编辑创建的GPO。

6a.前往电脑配置>政策>管理模板>Windows 组件>BitLocker 驱动器加密。

6b.现在打开将 BitLocker 恢复信息存储在 Active Directory 域服务中政策。

6c.将策略设置为启用，保留默认选项需要 BitLocker 备份到 AD DS&恢复密码和密钥包选中，然后单击申请>好的。

7a.然后，前往电脑配置>政策>管理模板>Windows 组件>BitLocker 驱动器加密 > 操作系统驱动器。

7b.打开政策选择如何恢复受 BitLocker 保护的系统驱动器。

7c. 使能够政策然后查看选项在操作系统驱动器的恢复信息存储在 AD DS 中之前，不要启用 BitLocker除非计算机连接到域并且 BitLocker 恢复信息成功备份到 AD DS，否则阻止用户启用 BitLocker。完成后，单击好的。

8.关闭所有组策略管理窗口。

9.最后，打开以管理员身份运行命令提示符并发出以下命令以在服务器和工作站中应用新策略（或重新启动工作站）：

• gp更新/强制

步骤 3. 在工作站上打开 BitLocker。

如果您尚未在客户端计算机上启用 BitLocker，请执行以下操作：*

* 笔记：如果您已在客户端上启用 BitLocker，请按照本指南中的步骤手动备份 AD 中的恢复密钥和密码：

1.使用具有计算机本地管理员权限的用户登录客户端计算机。
2.导航至控制面板并打开BitLocker 驱动器加密。

3.点击打开 BitLocker旁边C:驱动器（又名“操作系统驱动器”），然后按照屏幕上的说明对其进行加密。

4.现在将出现一条消息，告诉您是否已准备好加密驱动器。在此刻，查看这运行 BitLocker 系统检查框并单击继续以确保机器可以在加密驱动器之前读取恢复数据。然后，单击重新启动现在。

5.重新启动后，Windows 将开始加密驱动器，BitLocker 恢复密钥和密码将自动存储在 AD 中。

6.最后，按照以下说明继续验证恢复密钥和密码是否存储在 AD 中的计算机对象上。

第 2 部分：查看 AD (Active Directory) 中的 BitLocker 恢复密钥和密码。

应用上述步骤后，您将能够使用以下方式之一检索 AD 中存储的 BitLocker 密钥：

A. 使用 Active Directory 中的计算机属性。

1.打开Active Directory 用户和计算机。

2. 右键单击在要查看存储的恢复密钥的计算机对象上，然后选择特性。

3.然后选择BitLocker 恢复选项卡可查看恢复ID和恢复密码在“详细信息”字段下。

B. 使用“查找 BitLocker 密码”选项。

如果您知道恢复 ID（标识符）：

1.打开Active Directory 用户和计算机。

2. 右键单击在域名并选择查找 BitLocker 密码。

3.键入要查看 BitLocker 恢复密钥的计算机的恢复 ID 的前八 (8) 个字符，然后单击搜索。

就是这样！请留下您对您的经历的评论，让我知道本指南是否对您有帮助。请喜欢并分享本指南以帮助他人。

如果本文对您有用，请考虑通过捐赠来支持我们。即使 1 美元也能为我们带来巨大的改变我们努力继续帮助他人，同时保持本网站免费：