o0cid0o
Oct 23, 2018 at 09:50:12 (UTC)
view3371
view6
0
Goto Top

Bitlocker in der Domäne ohne TPM

GermansolvedQuestionWindows ServerMicrosoft
Hallo,

ich habe Domäne auf einem Windows Server 2016 Standard. In der Domäne sind sind normale Desktop PC's, neue und alte Laptops und Virtuelle Maschinen, mit und Ohne TPM-Chip.
Die Geräte ohne TPM über wiegen leider. Und können kurzfirstig auch nicht alle ersetzt werden.
Über GPMC.msc habe ich im Domaincontroller eine Gruppenrichtlinie in der Domäne für die Greäte ohne TPM-Chip erstellt, und trotzdem kann ich auf den PC's ohne TPM kein Bitlocker aktivieren.

ich habe jetzt folgende Richtlinien aktiviert und richtig konfiguriert:
Zusätzliche Authentifizierung beim Start anfordern
Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 R2, Vista...)
PIN oder Kennworänderung durch Standardbenutzer nicht zulassen
TPM-Plattformvalidierungsprofil konfigurieren...
TPM-Plattformvalidierungsprofil für systemeigene UEFI-Fiumware....

Was muss ich noch tun? Wo liegt mein Fehler? Oder brauche ich da wirklich alle Richtlinien?

mfg Oliver
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 390352

Url: https://administrator.de/contentid/390352

Printed on: April 19, 2024 at 14:04 o'clock

6 Comments
Latest comment
Goto Top
Member: Penny.Cilin
Solution Penny.Cilin Oct 23, 2018 at 10:04:41 (UTC)
Goto Top
Hallo,

hast Du die Anleitung von Frank gelesen?

Und den Erfahrungsbericht von DerWoWusste

Vielleicht hilft Dir das weiter.

Gruss Penny.
Member: MarkBeaker
Solution MarkBeaker Oct 23, 2018 at 10:52:43 (UTC)
Goto Top
Hallo,

ich bin nach dieser Anleitung mal vor gegangen:

https://www.der-windows-papst.de/wp-content/uploads/2017/11/Windows-Bitl ...

LG
heart1
Member: potshock
potshock Oct 23, 2018 at 16:26:23 (UTC)
Goto Top
hallo Oliver,

ich habe zwar einen Windows 2012 R2 Server und dementsprechend vielleicht eine etwas andere GPO. Clients sind bei mir ausschließlich Windows 10.

Ich habe folgende GPO Einstellungen vorgenommen:

"Zusätzliche Authentifizierung beim Start anfordern" -> Aktivieren!
Setze einen Haken bei "BitLocker ohne kompatibles TPM zulassen"
Wähle unter "TPM-Systemstartschlüssel konfigurieren:" "Systemstartschlüssel bei TPM nicht zulassen"
Wähle unter "TPM-Systemstart-Pin konfigurieren:" "Systemstart-Pin bei TPM nicht zulassen" -> Übernehmen -> OK

Ansonsten habe ich es wie in Franks Anleitung konfiguriert.

Potshock
Member: o0cid0o
o0cid0o Oct 23, 2018 at 16:47:32 (UTC)
Goto Top
ich habe soben postshock Tips noch mal getestet, und morgen früh werde deine (MarkBeaker) Anleitung noch mal druch arbeiten und dann berichten.
Danke für alle eure Tips.
Member: DerWoWusste
Solution DerWoWusste Oct 23, 2018 at 19:04:57 (UTC)
Goto Top
Hi.

"Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 R2, Win7 und höher)" - nur die, sonst nichts. Die selbe Policy gibt es für Vista/2008 - die nicht.
Member: o0cid0o
o0cid0o Oct 26, 2018 at 16:06:46 (UTC)
Goto Top
Ich habe die Erwänte Lösung durch gearbeitet, ich denke das sollte es sein. dann haben sich die GPO's nicht mit GPUpdate /force nicht updaten lassen. Da Domäne fehler hat. Ein Neustart des DC liegt nicht allein in meiner Hand. da ich nur ein Dienstleister bin. vielen Dank euch.
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment