Не могу хранить информацию TPM в AD

Я пытаюсь использовать GP для хранения информации TPM в AD. Я проверил, что схема содержит правильное свойство объекта, и проверил, что свойство и ACE присутствуют в данном объекте компьютера.

Я заметил, что с последним ADMX кажется, что Require TPM back to AD DS отсутствует в GP Turn on TPM backup to Active Directory Domain Services, заменить на утверждение:

If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.

Я использую оба dsa.msc's Attribute Editor, adsiedit.msc и сценарий Get-TPMOwnerInfo.vbs проверить наличие данных, после сброса пароля TPM, без везения.

Почему я не могу хранить информацию TPM в AD?

[Обновления: комментарии]

Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing?

Как указано в документации, после GPTurn on TPM backup to Active Directory Domain Services) применяется к клиентскому компьютеру:

TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.

Я не уверен, на данный момент, где можно увидеть ошибки, связанные... кроме я не вижу обновленной информации TPM, хранящейся в msTPM-OwnerInformation атрибут объекта компьютера. Чтобы было ясно, проблема в том, что информация TPM не хранится в AD, и я хотел бы, чтобы она была сохранена в AD.

What operating system(s) are running on the machine(s) with the TPM(s)?

Я использую Windows 8.1, но буду ориентирован как на Windows 8.1, так и на Windows 7.

[Дополнительная информация]

Обратите внимание, что в справочнике параметров групповой политики следующие разделы реестра отражают приложение GP:

HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1

Я выполнил следующее:

  1. убедитесь, что есть ACE для SELF с Write msTPM-OwnerInformation Права доступа на объекте компьютера установлены в AD.
  2. эти значения реестра установлены как ожидается на клиенте
  3. Затем я использую tpm.msc для сброса пароля
  4. Там не установлено значение для msTPM-OwnerInformation
Источник

1 ответ

Оказывается, что функция сохранения информации TPM в AD (или попытка сохранения информации TPM в AD) происходит только при смене пароля. Я не менял пароль, а использовал тот же пароль.

Из-за того, что позорно наша схема AD - суперская старая школа [выглядит как сервер 2008 SP1, даже не R2], я использовал BitLockerTPMSchemaExtension.ldf (доступно здесь), чтобы расширить схему, включив в нее свойства:

  • msTPM-OwnerInformation
  • msFVE-RecoveryGuid
  • msFVE-RecoveryPassword
  • msFVE-RecoveryInformation
  • msFVE-VolumeGuid
  • msFVE-KeyPackage

(предоставлено и стоит отметить, что msTPM-OwnerInformation уже присутствовал)

Итак, ожидая, что это будет работать без проблем, я приступил к фактическому изменению пароля TPM и сразу же получил код ошибки There is no such object on the server (error code: 0x80072030). с конкретной ошибкой Cannot change TPM owner password.

Очень просто msTPM-OwnerInformation Атрибут используется Windows 7 и ниже, но Windows 8+ (который был моим тестовым боксом), использует msTPM-TPMInformationForComputer как обсуждено более подробно в этой теме MSFT TechNet.

Чтобы решить эту проблему, следуйте документации MSFT, расширяя схему AD с помощью TpmSchemaExtension.ldf а также TpmSchemaExtensionACLChanges.ldf,

ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
Источник
Другие вопросы по тегам