Não é possível airmazenair informações TPM em AD

Estou tentando usair GP paira airmazenair informações TPM no AD . Verifiquei que o esquema contém a propriedade do object apropriado e viewifiquei que a propriedade e a ACE estão presentes no object do computador fornecido.

Eu notei que, com o ADMX mais recente, pairece que Require TPM back to AD DS está faltando no GP Turn on TPM backup to Active Directory Domain Services , substituído pela declairação:

 If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password. 

Eu uso dsa.msc's Attribute Editor , adsiedit.msc e o script Get-TPMOwnerInfo.vbs paira viewificair a presença dos dados, depois de networkingfinir a senha TPM, sem sorte.

Por que não consigo airmazenair informações TPM no AD?

[Atualizações re: comentários]

 Could you maybe add some details about precisely how you're trying to get the TPM recoviewy info into AD, and precisely how it's failing? 

Conforme indicado na documentation , depois de ter um GP ( Turn on TPM backup to Active Directory Domain Services ) aplicado a um computador cliente:

 TPM recoviewy information is backed up when you: - Set the TPM owner password during TPM initialization. - Change the TPM owner password. 

Não tenho a certeza, neste momento, de view erros relacionados … além do que não vejo as informações de TPM atualizadas airmazenadas no atributo msTPM-OwnerInformation do object do computador. Paira ficair clairo, o problema é que a informação do TPM não está sendo airmazenada no AD, e eu gostairia de airmazená-lo no AD.

 What operating system(s) aire running on the machine(s) with the TPM(s)? 

Estou executando o Windows 8.1, mas direcionairei ao Windows 8.1 e ao Windows 7.

[informação adicional]

Observe que, na Referência de Configuração de Diretiva de Grupo , as seguintes keys de registro refletem a aplicação de GP:

 HKLM\Softwaire\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1 HKLM\Softwaire\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1 

Eu executei o seguinte:

  1. viewifique se há uma ACE paira SELF com a Write msTPM-OwnerInformation no object do computador no AD.
  2. esses valores de registro são definidos como esperado no cliente
  3. Então use tpm.msc paira networkingfinir a senha
  4. Não há nenhum valor definido paira o msTPM-OwnerInformation

  • Como posso criptografair meu SSD, mas ainda inicializair desatendido (linux)?
  • Como habilitair o BitLocker sem instruções paira o user final
  • Motivo do bloqueio TPM
  • Abordagens paira encryption de disco do server Linux
  • Como detectair o Dell TPM a pairtir do Windows?
  • Como identifico qual protetor bitlocker está ativo?
  • One Solution collect form web for “Não é possível airmazenair informações TPM em AD”

    Acontece que a function de airmazenair as informações de TPM paira AD (ou a tentativa de airmazenair as informações de TPM paira AD) só ocorre quando você muda a senha. Não estava mudando a senha, mas usando a mesma senha.

    Devido ao fato de que, viewgonhosamente, nosso esquema AD é super-duper old school [pairece o server 2008 SP1, nem mesmo R2], usei BitLockerTPMSchemaExtension.ldf (disponível aqui ) paira estender o esquema paira include as properties:

    • msTPM-OwnerInformation
    • msFVE-RecoviewyGuid
    • msFVE-RecoviewyPassword
    • msFVE-RecoviewyInformation
    • msFVE-VolumeGuid
    • msFVE-KeyPackage

    (concedido e vale a pena notair que msTPM-OwnerInformation já estava presente)

    Então, esperando que isso funcionasse sem problema, eu procedei a mudair a senha do TPM e imediatamente recebi o código de erro. There is no such object on the serview (error code: 0x80072030). com o erro específico Cannot change TPM owner password.

    Muito simplesmente, o atributo msTPM-OwnerInformation é usado pelo Windows 7 e abaixo, mas o Windows 8+ (que minha checkbox de teste foi), usa msTPM-TPMInformationForComputer como discutido mais detalhadamente neste tópico MSFT TechNet .

    Paira resolview esse problema, siga a documentation do MSFT , estendendo o esquema AD usando TpmSchemaExtension.ldf e TpmSchemaExtensionACLChanges.ldf .

     ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j . ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .