Minha organização está executando o esquema do AD DS no Server 2008 R2. Já é um começo ruim, eu sei, mas vamos fingir que é impossível mudar. Em nossa política de domínio padrão, temos a seguinte configuração enabled para exigir o backup do AD dos hashes de valor de autorização do proprietário do TPM:
Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services
Como resultado, quando tento criptografar uma máquina do Windows 8 Enterprise com o BitLocker, ele tenta falhar porque o Windows 8 tenta armazenar o hash de autorização do TPM como objeto filho (com tipo < strong> ms-TPM-OwnershipInformation ) do objeto de computador, enquanto o esquema do Server 2008 R2 requer o armazenamento dessas informações como um atributo (especificamente, msTPM-OwnerInformation ) do objeto de computador. Isso é perfeitamente bom e elegante - na verdade, é claramente documentado em um artigo do TechNet que Esse comportamento é intencional e a solução é atualizar para o esquema do Server 2012. Legal.
O pouco que me preocupa é que, quando tento criptografar uma máquina do Windows 8.1 Enterprise vinculada ao AD, ela é bem-sucedida nessas mesmas circunstâncias. No entanto, apesar da configuração de diretiva que exige o backup do TPM, ela simplesmente não ocorre - ela não é armazenada no atributo do computador nem é criada como um objeto filho para o computador.
Não consegui encontrar nenhuma documentação que indique que o Windows 8.1 se comporta de maneira diferente do Windows 8 sobre esse assunto. Como a data de término do suporte normal para o Servidor 2008 R2 não é até 13/01/14, eu não esperaria que a Microsoft implementasse intencionalmente o que descrevi. Isso pode ser um comportamento não intencional? Se sim, como alguém poderia lidar melhor com a Microsoft?
Você está criptografando o Windows 8, portanto, o esquema 2008r2 faz precisa ser estendido para oferecer suporte a extensões 2012 do TPM.
Informações postadas por Greg são para o Windows 7 e para o servidor 2008r2, que não precisam de uma atualização de esquema.
Você está confundindo duas configurações diferentes.
Para impedir a criptografia do BitLocker, a menos que seja feito o backup das informações no Active Directory, é necessário ativar a seguinte configuração de Diretiva de Grupo:
Computador > Políticas > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades do sistema operacional
"Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional"
Para ativar a recuperação do TPM, não é necessário atualizar o esquema. Você precisa ativar o acesso de gravação ao atributo ms-TPM-OwnershipInformation para a identidade própria. A Microsoft fornece o script Add-TPMSelfWriteACE.vbs para isso.
Backup de informações de recuperação do BitLocker e do TPM para o AD DS
link
Você também pode fazer backup das informações no Active Directory após o fato. Às vezes, isso é útil para computadores que são reintegrados ao domínio:
manage-bde -protectors -get c:
(obtenha o ID da senha numérica)
manage-bde -protectors -adbackup c: -id {<guid>}