Als systeembeheerder kan het lastig zijn om de BitLocker-herstelsleutels voor alle computers in het bedrijfsnetwerk bij te houden, vooral wanneer het aantal machines meer dan 100 bedraagt. In deze zelfstudie laten we u zien hoe u het groepsbeleid zo kunt instellen dat er automatisch een back-up wordt gemaakt van de BitLocker-herstelgegevens naar Active Directory, zodat u de herstelsleutels/wachtwoorden centraal op één plek kunt beheren.
Hoe u GPO kunt configureren om de BitLocker-herstelsleutel automatisch op te slaan in AD
- Klik op het zoekpictogram in de taakbalk en typ 'groepsbeleid“Je kunt dan klikkenBeheer van groepsbeleidom het te lanceren.
- Klik nu in het linkerdeelvenster van Groepsbeleidsbeheer met de rechtermuisknop op uw AD-domein en selecteer 'Maak een GPO in dit domein en koppel deze hier...” uit het menu.
- Geef in het dialoogvenster Nieuw GPO het GPO een naam en klik opOK.
- Klik met de rechtermuisknop op het nieuw gemaakte groepsbeleidsobject in het linkerdeelvenster en selecteerBewerking.
- Blader naar
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryptionen dubbelklik vervolgens op het beleid 'Bewaar BitLocker-herstelinformatie in Active Directory Domain Services“.
- Stel het beleid in opIngeschakeld. Zorg ervoor dat de “Vereist een BitLocker-back-up naar AD DS'-optie is aangevinkt en selecteer om zowel herstelwachtwoorden als sleutelpakketten op te slaan.
- Breid vervolgens uitBitLocker-stationsversleutelingin het linkerdeelvenster. U ziet drie knooppunten: vaste gegevensschijven, besturingssysteemschijven en verwisselbare gegevensschijven. Selecteer gewoon Fixed Data Drives en dubbelklik op het beleid “Kies hoe door BitLocker beveiligde vaste schijven kunnen worden hersteld“.
- Stel het inIngeschakeld. Vink de opties "BitLocker-herstelinformatie opslaan in AD DS voor vaste schijven" aan en klik vervolgens op OK.
Aanbevolen lees:Gemakkelijke manieren om de BitLocker-herstelsleutel uit Active Directory te vinden
- Ga naar het knooppunt “Besturingssysteemschijven” en schakel het soortgelijke beleid in “Kies hoe door BitLocker beveiligde besturingssysteemschijven kunnen worden hersteld". Ga daarna naar het knooppunt "Verwisselbare gegevensstations" en schakel het beleid in "Kies hoe met BitLocker beveiligde verwisselbare schijven kunnen worden hersteld“.
- Wanneer een client-pc de beleidswijzigingen ophaalt, wordt er automatisch en stil een back-up van de BitLocker-herstelinformatie gemaakt naar AD DS wanneer BitLocker wordt ingeschakeld voor vaste schijven, besturingssysteemschijven of verwisselbare schijven.
Maak handmatig een back-up van het BitLocker-wachtwoord naar AD met PowerShell
Als u BitLocker hebt ingeschakeld voordat u het bovenstaande GPO-beleid configureert, kunt u PowerShell-cmdlets gebruiken om de BitLocker-herstelsleutel handmatig naar Active Directory te uploaden. Volg deze stappen:
- Wanneer uw door BitLocker beveiligde schijf is ontgrendeld, opent u PowerShell als beheerder en typt u deze opdracht:
manage-bde -protectors -get D:
Waar u rekening mee moet houden, is de numerieke wachtwoord-ID.
- Typ vervolgens de volgende opdracht om een back-up te maken van uw BitLocker-herstelwachtwoord naar Active Directory. Vergeet niet dat u de numerieke wachtwoord-ID moet gebruiken die u in de vorige stap hebt verkregen.
manage-bde -protectors -adbackup D: -id {CAF6FEF0-7C98-4D6A-B80F-7BE63C033047}
- Wanneer dat is voltooid, ontvangt u het bericht 'Er is een back-up gemaakt van de herstelinformatie naar Active Directory.'
