、
このガイドには、WindowsにビットロッカーのリカバリキーとパスワードをActive Directory(AD)に自動的に保存するように強制する方法に関する段階的な指示が含まれています。
ドメインラップトップやデスクトップPCを不正アクセスから保護したい場合は、盗難の場合、そのようなすべてのコンピューター、特に敷地外で使用されるコンピューターでビットロッカー暗号化を有効にすることです。
しかし、ビジネス環境でビットロッカーのリカバリキーを手動で管理することは困難であるため、このガイドでは、ドメイン接合コンピューターでビットロッカー保護を有効にしたときにWindowsにリカバリキーとパスワードをADにバックアップさせる方法を確認し、必要に応じてADでBitLockerデータ(ID&パスワード)を表示する方法を確認します。このプロセスにより、リカバリキーが安全に保存されるようになり、必要に応じて管理者が簡単にアクセスできるようになります。
Active DirectoryにBitLocker Recoveryキーとパスワードを自動的にバックアップする方法。
BitLocker Recoveryキー/パスワードをActive Directory(AD)に自動的に保存するには:
パート1。ビットロッカーデータを保存するようにActive Directoryを構成します。
ステップ1。ビットロッカードライブ暗号化機能をインストールします。
1。広告ドメインサーバーで、開いていますサーバーマネージャークリックします役割と機能を追加します。
2。選択しますロールベースまたは機能ベースのインストールクリックします次。
3。「サーバー選択」オプションで、ドメインサーバーを選択してクリックします次。
4。クリック次でサーバーの役割。
5a。の上特徴ウィンドウ、選択しますビットロッカードライブ暗号化そして…
5b。…次に選択します機能を追加しますBitLockerドライブの暗号化に必要なすべての機能と管理ツールをインストールするため。
5c。クリック次再び続行します。
6。最後にクリックしますインストールビットロッカードライブの暗号化機能をインストールします。
8。機能のインストールが完了したら、クリックします仕上げるそして再起動サーバー。
ステップ2。ADにBitLockerキーを保存する新しいGPOを作成します。
上記の手順を実行した後、Active Directoryを構成して、グループポリシーを介してドメインコンピューターからADまでのBitLockerキー/パスワードを自動的にバックアップします。
1。開けるサーバーマネージャーそしてからツールメニューを開きますグループポリシー管理。
2。グループポリシーマネージャーでは、デフォルトのドメインポリシーを編集するか、ドメイン全体の新しいグループポリシーを作成するか、ADにBitLockerキーを保存するコンピューターを含むOUだけの新しいグループポリシーを作成します。
* 注記:この例では、BitLocker暗号化が有効になっているすべてのドメインコンピューターを含む「ワークステーション」OUの新しいGPOを作成します。
3。右クリックします選択しますこのドメインでGPOを作成し、ここにリンクしてください…
4。新しいGPOに名前を付ける」Active DirectoryにBitLockerキーを保存します「そしてクリックしますわかりました。
5。今編集作成されたGPO。
6a。行きますコンピューター構成>ポリシー>管理テンプレート>Windowsコンポーネント>ビットロッカードライブ暗号化。
6b。ここで開きますActive DirectoryドメインサービスにBitLockerリカバリ情報を保存しますポリシー。
6c。にポリシーを設定します有効になっています、デフォルトのオプションを残しますAD DSにBitLockerバックアップが必要です&回復パスワードとキーパッケージ選択してクリックします適用する>わかりました。
7a。次に、に行きますコンピューター構成>ポリシー>管理テンプレート>Windowsコンポーネント>ビットロッカードライブ暗号化>オペレーティングシステムドライブ。
7b。ポリシーを開きますBitLockerで保護されたシステムドライブを回復する方法を選択します。
7c。 有効にするポリシーとその後チェックオプションオペレーティングシステムドライブ用のAD DSに回復情報が保存されるまで、BitLockerを有効にしないでくださいコンピューターがドメインに接続されていない限り、ユーザーがBitLockerを有効にしないようにし、AD DSへのBitLocker Recovery情報のバックアップが成功します。完了したら、クリックしますわかりました。
8。すべてのグループポリシー管理ウィンドウを閉じます。
9。最後に、開きます管理者としてコマンドプロンプトサーバーとワークステーションの両方に新しいポリシーを適用する(またはワークステーションを再起動)次のコマンドを提供します。
- gpupdate /force
ステップ3。ワークステーションのビットロッカーをオンにします。
クライアントコンピューターでBitLockerをまだ有効にしていない場合は、次のことを行います。
* 注記:すでにクライアントにBitLockerを有効にしている場合は、このガイドの手順に従って、ADのリカバリキーとパスワードを手動でバックアップします。
1。マシンにローカル管理者の権利を持っているユーザーとともに、クライアントマシンにログインします。
2。に移動しますコントロールパネルそして開いていますビットロッカードライブ暗号化。
3。クリックBitLockerをオンにしますの隣にC:ドライブ(別名「OSドライブ」)、画面上の指示に従って暗号化します。
4。ドライブを暗号化する準備ができているかどうかを示すメッセージが表示されます。この時点で、チェックBitLockerシステムチェックを実行しますボックスとクリックします続くドライブを暗号化する前に、マシンが回復データを読み取ることができるようにします。次に、クリックします再起動今。
5。再起動後、Windowsはドライブの暗号化を開始し、BitLocker RecoveryキーとパスワードはADに自動的に自動的に保存されます。
6。最後に、以下の指示に従って、回復キーとパスワードがADのコンピューターのオブジェクトに保存されていることを確認します。
パート2。AD(Active Directory)のBitLockerリカバリキーとパスワードを表示します。
上記の手順を適用した後、次の方法のいずれかを使用して、ADの保存されているビットロッカーキーを取得できます。
A. Active Directoryでコンピュータープロパティを使用します。
1。開けるActive Directoryユーザーとコンピューター。
2。右クリックします保存されているリカバリキーを表示して選択するコンピューターオブジェクトでプロパティ。
3。次に、を選択しますビットロッカーの回復を見るためのタブ回復IDそして回復パスワード「詳細」フィールドの下。
B.「BitLockerパスワードの検索」オプションを使用します。
回復ID(識別子)がわかっている場合:
1。開けるActive Directoryユーザーとコンピューター。
2。右クリックしますにドメイン名選択しますBitLockerパスワードを見つけます。
3。BitLocker Recoveryキーを確認したいコンピューターの回復IDの最初の8文字を入力して、クリックします検索。
それでおしまい!このガイドがあなたの経験についてあなたのコメントを残してあなたを助けたかどうかを教えてください。他の人を助けるためにこのガイドを気に入って共有してください。
この記事があなたに役立つ場合は、寄付をすることで私たちをサポートすることを検討してください。1ドルでさえ私たちにとって大きな違いをもたらすことができますこのサイトを自由に保ちながら他の人を助け続けるための努力において: