Коли ви створюєте новий пароль відновлення BitLocker для комп’ютера, старий пароль відновлення BitLocker більше не дійсний. Однак ці паролі залишаються в Active Directory. Ви можете тримати їх там, оскільки це не зашкодить. Але щоб довкілля виглядало чистим, чудово їх видалити. У цій статті ви дізнаєтесь, як видалити старі паролі відновлення BitLocker за допомогою PowerShell.
стартКористувачі та комп’ютери Active Directoryі шукати комп’ютер. Двічі клацніть об’єкт комп’ютера, щоб відкрити властивості комп’ютера. Натисніть наВідновлення BitLockerвкладка.
Ось як це виглядає, якщо на об’єкті комп’ютера є більше одного пароля відновлення BitLocker.
Якщо ви хочете експортувати поточні ключі відновлення BitLocker з Active Directory для всіх комп’ютерів, прочитайте статтю Експортувати ключі відновлення BitLocker з Active Directory за допомогою PowerShell.
Видаліть старі паролі відновлення BitLocker сценарій PowerShell
Завантажте сценарій PowerShell Remove-BitLockerPass.ps1 і розмістіть йогоC: сценаріїпапку.
Переконайтеся, що файл розблоковано, щоб запобігти помилкам під час виконання сценарію. Докладніше в статті Помилка без цифрового підпису під час запуску сценарію PowerShell.
Інший варіант – скопіювати та вставити наведений нижче код у блокнот. Дайте йому назвуRemove-BitLockerPass.ps1і помістіть його вC: сценаріїпапку.
<#
.SYNOPSIS
Remove-BitLockerPass.ps1
.DESCRIPTION
Remove old BitLocker Recovery Passwords from Active Directory for all computers.
.LINK
www.alitajran.com/remove-old-bitlocker-recovery-passwords/
.NOTES
Written by: ALI TAJRAN
Website: alitajran.com
X: x.com/alitajran
LinkedIn: linkedin.com/in/alitajran
.CHANGELOG
V1.00, 10/06/2024 - Initial version
#>
# Fetching computers from Active Directory
$Computers = Get-ADComputer -Filter 'ObjectClass -eq "computer"' -Property Name, DistinguishedName, OperatingSystem | Sort-Object Name
foreach ($computer in $Computers) {
$params = @{
Filter = 'objectclass -eq "msFVE-RecoveryInformation"'
SearchBase = $computer.DistinguishedName
Properties = 'msFVE-RecoveryPassword', 'whencreated'
}
# Get BitLocker recovery information
$bitlockerInfos = Get-ADObject @params | Sort-Object -Property WhenCreated -Descending
if ($bitlockerInfos) {
# Keep only the latest recovery password
$latestRecoveryInfo = $bitlockerInfos[0]
Write-Host "BitLocker Recovery information found for $($computer.Name)" -ForegroundColor Cyan
# Check if there are more than one recovery keys to process
if ($bitlockerInfos.Count -gt 1) {
# Remove all but the latest recovery information
foreach ($info in $bitlockerInfos[1..($bitlockerInfos.Count - 1)]) {
try {
Remove-ADObject -Identity $info.DistinguishedName -Confirm:$false
Write-Host "Removed old BitLocker Recovery key for $($computer.Name) created on $($info.whencreated)" -ForegroundColor Green
}
catch {
Write-Host "Failed to remove old BitLocker Recovery key for $($computer.Name): $_" -ForegroundColor Red
}
}
}
else {
Write-Host "Only one BitLocker Recovery key found for $($computer.Name). No action required." -ForegroundColor Cyan
}
}
else {
Write-Host "No BitLocker Recovery information found for $($computer.Name)" -ForegroundColor Cyan
}
}Запустіть PowerShell від імені адміністратора та запустіть сценарій Remove-BitLockerPass.ps1.
C:scripts.Remove-BitLockerPass.ps1З'явиться наведений нижче результат.
No BitLocker Recovery information found for DC01-2022
No BitLocker Recovery information found for DC02-2022
No BitLocker Recovery information found for EX01-2019
No BitLocker Recovery information found for EX02-2019
No BitLocker Recovery information found for EX03-2019
No BitLocker Recovery information found for FS01-2019
BitLocker Recovery information found for WIN10
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:19:12
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:18:45
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:15:43
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:59:41
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:56:39
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:51:52
Removed old BitLocker Recovery key for WIN10 created on 09/24/2024 08:41:52
Removed old BitLocker Recovery key for WIN10 created on 07/27/2024 00:36:52Підтвердити вКористувачі та комп’ютери Active Directoryщо на об’єкті комп’ютера присутній лише найновіший пароль відновлення BitLocker і що старіші успішно видалено.
Ось і все!
Висновок
Ви дізналися, як видалити старі паролі відновлення BitLocker за допомогою PowerShell. Зберігати старі паролі відновлення в Active Directory можна, оскільки вони не створюють жодних проблем. Однак, якщо ви хочете, щоб у вашому середовищі все було максимально охайним, запустіть сценарій. Це збереже лише останній пароль відновлення BitLocker для кожної машини.
Вам сподобалася ця стаття? Вам також може сподобатися звіт «Експорт паролів Windows LAPS». Не забудьте підписатися на нас і поділитися цією статтею.
Більше читання:Як заблокувати поширені (слабкі) паролі в Active Directory
