Não é possível armazenar informações do TPM no AD

1

Estou tentando usar o GP para armazenar informações do TPM no AD . Verifiquei que o esquema contém a propriedade de objeto adequada e verifiquei se a propriedade e a ACE estão presentes no objeto de computador especificado.

Eu notei que, com o ADMX mais recente, parece que Require TPM back to AD DS está ausente no GP Turn on TPM backup to Active Directory Domain Services , substituído pela afirmação:

If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password.

Eu uso os dois dsa.msc's Attribute Editor , adsiedit.msc e o script Get-TPMOwnerInfo.vbs para verificar a presença dos dados, depois de redefinir a senha do TPM, sem sorte.

Por que não consigo armazenar informações do TPM no AD?

[Atualizações re: comentários]

Could you maybe add some details about precisely how you're trying to get the TPM recovery info into AD, and precisely how it's failing? 

Conforme declarado na documentação , depois de ter um GP ( Turn on TPM backup to Active Directory Domain Services ) aplicado a um computador cliente:

TPM recovery information is backed up when you:
- Set the TPM owner password during TPM initialization.
- Change the TPM owner password.

Não sei ao certo onde ver os erros relacionados ... além de não ver as informações atualizadas do TPM armazenadas no atributo msTPM-OwnerInformation do objeto de computador. Para ser claro, o problema é que as informações do TPM não estão sendo armazenadas no AD, e gostaria de armazená-las no AD.

What operating system(s) are running on the machine(s) with the TPM(s)?

Estou executando o Windows 8.1, mas vou segmentar tanto o Windows 8.1 quanto o Windows 7.

[informações adicionais]

Observe que, na Referência de configurações de política de grupo , as seguintes chaves de registro refletir o aplicativo GP:

HKLM\Software\Policies\Microsoft\TPM REG_DWORD: ActiveDirectoryBackup = 0x1
HKLM\Software\Policies\Microsoft\TPM REG_DWORD: RequireActiveDirectoryBackup = 0x1

Eu executei o seguinte:

  1. verifique se há uma ACE para SELF com a permissão Write msTPM-OwnerInformation definida no objeto de computador no AD.
  2. esses valores do registro são definidos como esperado no cliente
  3. Eu uso o tpm.msc para redefinir a senha
  4. Não há nenhum valor definido para o msTPM-OwnerInformation
por mbrownnyc 25.11.2014 / 16:00

1 resposta

2

Acontece que a função de armazenar as informações do TPM no AD (ou a tentativa de armazenar as informações do TPM no AD) ocorre apenas quando você altera a senha . Eu não estava mudando a senha, mas usando a mesma senha.

Devido ao fato de que vergonhosamente nosso esquema de AD é super-old school [parece com o servidor 2008 SP1, nem mesmo com o R2], usei BitLockerTPMSchemaExtension.ldf (disponível aqui ) para estender o esquema para incluir as propriedades:

  • msTPM-OwnerInformation
  • msFVE-RecoveryGuid
  • msFVE-RecoveryPassword
  • msFVE-RecoveryInformation
  • msFVE-VolumeGuid
  • msFVE-KeyPackage

(concedido e digno de nota que msTPM-OwnerInformation já estava presente)

Então, esperando que isso funcionasse sem problemas, passei a alterar a senha do TPM e imediatamente recebi o código de erro There is no such object on the server (error code: 0x80072030). com o erro específico Cannot change TPM owner password.

Muito simplesmente, o atributo msTPM-OwnerInformation é usado pelo Windows 7 e abaixo, mas o Windows 8+ (que era minha caixa de teste) usa msTPM-TPMInformationForComputer conforme discutido mais detalhadamente em este thread do MSFT TechNet .

Para resolver esse problema, siga a a documentação da MSFT , estendendo o esquema do AD usando TpmSchemaExtension.ldf e TpmSchemaExtensionACLChanges.ldf .

ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
    
por 25.11.2014 / 20:32