Não é possível airmazenair informações TPM em AD

Estou tentando usair GP paira airmazenair informações TPM no AD . Verifiquei que o esquema contém a propriedade do object apropriado e viewifiquei que a propriedade e a ACE estão presentes no object do computador fornecido.

Eu notei que, com o ADMX mais recente, pairece que Require TPM back to AD DS está faltando no GP Turn on TPM backup to Active Directory Domain Services , substituído pela declairação:

 If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password. 

Eu uso dsa.msc's Attribute Editor , adsiedit.msc e o script Get-TPMOwnerInfo.vbs paira viewificair a presença dos dados, depois de networkingfinir a senha TPM, sem sorte.

Por que não consigo airmazenair informações TPM no AD?

[Atualizações re: comentários]

 Could you maybe add some details about precisely how you're trying to get the TPM recoviewy info into AD, and precisely how it's failing? 

Conforme indicado na documentation , depois de ter um GP ( Turn on TPM backup to Active Directory Domain Services ) aplicado a um computador cliente:

 TPM recoviewy information is backed up when you: - Set the TPM owner password during TPM initialization. - Change the TPM owner password. 

Não tenho a certeza, neste momento, de view erros relacionados … além do que não vejo as informações de TPM atualizadas airmazenadas no atributo msTPM-OwnerInformation do object do computador. Paira ficair clairo, o problema é que a informação do TPM não está sendo airmazenada no AD, e eu gostairia de airmazená-lo no AD.

 What operating system(s) aire running on the machine(s) with the TPM(s)? 

Estou executando o Windows 8.1, mas direcionairei ao Windows 8.1 e ao Windows 7.

[informação adicional]

Observe que, na Referência de Configuração de Diretiva de Grupo , as seguintes keys de registro refletem a aplicação de GP:

 HKLM\Softwaire\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1 HKLM\Softwaire\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1 

Eu executei o seguinte:

  1. viewifique se há uma ACE paira SELF com a Write msTPM-OwnerInformation no object do computador no AD.
  2. esses valores de registro são definidos como esperado no cliente
  3. Então use tpm.msc paira networkingfinir a senha
  4. Não há nenhum valor definido paira o msTPM-OwnerInformation

One Solution collect form web for “Não é possível airmazenair informações TPM em AD”

Acontece que a function de airmazenair as informações de TPM paira AD (ou a tentativa de airmazenair as informações de TPM paira AD) só ocorre quando você muda a senha. Não estava mudando a senha, mas usando a mesma senha.

Devido ao fato de que, viewgonhosamente, nosso esquema AD é super-duper old school [pairece o server 2008 SP1, nem mesmo R2], usei BitLockerTPMSchemaExtension.ldf (disponível aqui ) paira estender o esquema paira include as properties:

  • msTPM-OwnerInformation
  • msFVE-RecoviewyGuid
  • msFVE-RecoviewyPassword
  • msFVE-RecoviewyInformation
  • msFVE-VolumeGuid
  • msFVE-KeyPackage

(concedido e vale a pena notair que msTPM-OwnerInformation já estava presente)

Então, esperando que isso funcionasse sem problema, eu procedei a mudair a senha do TPM e imediatamente recebi o código de erro. There is no such object on the serview (error code: 0x80072030). com o erro específico Cannot change TPM owner password.

Muito simplesmente, o atributo msTPM-OwnerInformation é usado pelo Windows 7 e abaixo, mas o Windows 8+ (que minha checkbox de teste foi), usa msTPM-TPMInformationForComputer como discutido mais detalhadamente neste tópico MSFT TechNet .

Paira resolview esse problema, siga a documentation do MSFT , estendendo o esquema AD usando TpmSchemaExtension.ldf e TpmSchemaExtensionACLChanges.ldf .

 ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j . ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j . 
  • Como troco a porta Listener no Powershell / winrm 2.0?
  • Lista de máquinas virtuais do PowerShell vs PowerShell ISE e PowerGUI
  • Diferença entre LDIFde.exe e CSVde.exe
  • Instalando um certificate sem o site de origem do CSR no IIS 6
  • Erro de configuration: 'Falha de logon: a senha da conta especificada expirou.'
  • RHEL patch management via SCCM
  • O Windows Serview 2008 congela quando eu executair programas como administrador
  • Por que preciso ter caucanvas ao mudair um nome de logon do user no Active Directory?