Dig*_*aft 7 bitlocker login-script
是否有可能以某种方式(启动脚本?)阻止任何未加密的计算机连接到域?
环境:Windows 活动目录,1000 台左右的计算机,主要是 bitlocker 加密,在 win 7 或 10 企业版上约为 50/50。
AFAIK 在 AD 域加入期间无法自动检查这一点。但是,一旦计算机加入域,就可以使用 GPO 启用 Bitlocker。如果每台计算机都有这些设置,并且只有域计算机可以访问资源,结果将是相同的。
首先,您应该从计算机配置\策略\管理模板\系统\受信任的平台模块服务打开 TPM 备份到 AD 域 服务。Enabled
然后,在计算机配置\策略\管理模板\ Windows 组件\ Bitlocker 驱动器加密下,您可以找到所有其他相关设置:
EnabledEnabledEnabledEnabled; 根据需要配置EnabledEnabledEnabledEnabledEnabled请务必根据您的环境的需要填写详细信息并修改此示例。为计算机强制使用 BitLocker 的 OU 启用此 GPO。(并且请首先使用一小组测试计算机测试您的配置。这些设置中的一个小错误可能会导致真正的痛苦,因为所有数据都将被加密。)
虽然这可能不是您所要求的,但我相信这个问题的官方答案是 MBAM - Microsoft Bitlocker Administration and Monitoring。MBAM 附带(除其他外)一系列组策略设置,其中一些设置允许您在任何加入域的设备上强制使用 Bitlocker。但这当然意味着加入域的设备在下载组策略之前必须先加入域并进行身份验证,此时设备的 Bitlocker 状态是未知的……但是启动或登录脚本在那方面。
| 归档时间: |
|
| 查看次数: |
2057 次 |
| 最近记录: |