jktu789
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, добрый день. Прошу помочь в создании GPO в домене для установки и запуска Bitlocker на компьютере пользователя (Win10), главное - без участия пользователя. Что уже сделано. 1. Создана групповая политика: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы»\ «Требовать дополнительную проверку подлинности при запуске\, так же указаны длина пинкода и разрешена возможность хранения паролей восстановления и ключей в АD, использовать программное шифрование, если аппаратное недоступно. 2.Создан батник, который по идее, должен при авторизации пользователя в первый раз запрашивать ключ для шифрования (manage-bde -protectors -add c: -TPMAndPIN) Но при подключении пользователя, батник срабатывает, но ничего не происходит, а при запросе manage-bde -status процент "зашифрованности" диска 0% и ничего не происходит. Так же пробовал использовать метод из статьи https://onix.me/quick-start-central-installation-bitlocker/, батник и скрипт так же отрабатывает, в логе написано, что все выполнено, но по факту диск остается не зашифрованным. И первом и во втором случаи все равно требуются действия пользователя, для ввода pin кода. Или как вариант, может как-то так попробовать? с генерацией ключа и сохранением его в общую папку на сервере, для передачи пользователю по защищенному каналу. $Comp = hostname $PIN = Get-Random -maximum 10000 $PIN | Out-file \\Server\Pins\$Comp.txt $SecureString = ConvertTo-SecureString "PIN" -AsPlainText -Force Enable-BitLocker -MountPoint c: -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector Add-BitLockerKeyProtector -MountPoint C: -PasswordProtector Enable-Bitlocker -MountPoint C: -RecoveryPasswordProtector Заранее благодарю за помощь. |