10
Windows 10 BitLocker GPO unter Windows Server 2012 R2
Hallo zusammen,
zur Zeit befasse ich mich mit den GPOs zur Bitlockerverschlüsselung auf unserem Server 2012 R2.
Hintergrund ist - Ich möchte eine GPO ausrollen, in der festgelegt ist, das alle WIndows 10 (1803 und älter) Computer eine Bitlockerverschlüsselung mit TPM bekommen und das der Schlüssel in der AD abgelegt wird.
Jetzt habe ich alle Einstellungen in der Gruppenrichtlinienverwaltung vorgenommen, nur finde keine Vorlage für Windos 10.
Windows 7, sowie Server 2012 und ältere werden unterstützt.
Ich habe bei Microsoft auch schon die aktuellsten Tamplates heruntergeladen und bei uns eingefügt. Vorlagen für Edge etc. finde ich.
Jetzt kommt meine Frage: Ist es den eig. grundsätzlich möglich eine GPO mit BitLockerverschlüsselung für Windows 10 unter Server 2012 R2 zu erstellen? Und wenn ja, wie?
Vielen Dank schon mal für die Untersützung.
zur Zeit befasse ich mich mit den GPOs zur Bitlockerverschlüsselung auf unserem Server 2012 R2.
Hintergrund ist - Ich möchte eine GPO ausrollen, in der festgelegt ist, das alle WIndows 10 (1803 und älter) Computer eine Bitlockerverschlüsselung mit TPM bekommen und das der Schlüssel in der AD abgelegt wird.
Jetzt habe ich alle Einstellungen in der Gruppenrichtlinienverwaltung vorgenommen, nur finde keine Vorlage für Windos 10.
Windows 7, sowie Server 2012 und ältere werden unterstützt.
Ich habe bei Microsoft auch schon die aktuellsten Tamplates heruntergeladen und bei uns eingefügt. Vorlagen für Edge etc. finde ich.
Jetzt kommt meine Frage: Ist es den eig. grundsätzlich möglich eine GPO mit BitLockerverschlüsselung für Windows 10 unter Server 2012 R2 zu erstellen? Und wenn ja, wie?
Vielen Dank schon mal für die Untersützung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 382851
Url: https://administrator.de/contentid/382851
Printed on: April 24, 2024 at 04:04 o'clock
10 Comments
Latest comment
Hi,
schaue auf einem Win10 Client lokal unter %Systemroot%\PolicyDefinitions.
Entweder RSAT auf einem Win10 installieren und dort die GPO bearbeiten.
Oder die Dateien aus dem lokalen PolicyDefinitions in den gleichen Ordner auf den Computer kopieren, wo Du die GPO bearbeitest.
Oder besser noch einen Central Store für PolicyDefinitions in der Domäne anlegen und dort alle ADMX und ADML in den aktuellsten Versionen bereitstellen.
E.
schaue auf einem Win10 Client lokal unter %Systemroot%\PolicyDefinitions.
Entweder RSAT auf einem Win10 installieren und dort die GPO bearbeiten.
Oder die Dateien aus dem lokalen PolicyDefinitions in den gleichen Ordner auf den Computer kopieren, wo Du die GPO bearbeitest.
Oder besser noch einen Central Store für PolicyDefinitions in der Domäne anlegen und dort alle ADMX und ADML in den aktuellsten Versionen bereitstellen.
E.
Hi.
Du möchtest festlegen, dass alle WIndows 10 (1803 und älter) Computer eine Bitlockerverschlüsselung mit TPM bekommen...
Das geht nicht, man kann nicht per GPO den Start der Verschlüsselung erzwingen, falls Du das meinst. Dafür müsstest Du ein Startskript nehmen, oder MBAM nutzen (letzteres is für Volumenlizenzkunden kostenlos).
Skript wäre simpel:
Du möchtest festlegen, dass alle WIndows 10 (1803 und älter) Computer eine Bitlockerverschlüsselung mit TPM bekommen...
Das geht nicht, man kann nicht per GPO den Start der Verschlüsselung erzwingen, falls Du das meinst. Dafür müsstest Du ein Startskript nehmen, oder MBAM nutzen (letzteres is für Volumenlizenzkunden kostenlos).
Skript wäre simpel:
manage-bde -on c: -used -s
Hallo zusammen,
danke für eure Antwort und sorry für meine späte.
@emeriks, wir haben einen Centrale Store, dort habe ich die aktuellsten tamplates hinkopiert. Ich habe mir sogar welche von einem Server 2016 kopiert und welche von einem Windows 10-1803. Leider taucht die Vorlage nicht im Editor der Gruppenrichtlinien auf.
Zugleich habe ich es auch über die RSAT probiert, funktioniert auch nicht
Habe mal zwei Bilder hinzuefügt um es euch vllt Bildlicher zu machen
@DerWoWusste, die Aktivierung der Verschlüsselung wird im nachhinein per Hand oder per Script angestoßen.
Vielen Dank
danke für eure Antwort und sorry für meine späte.
@emeriks, wir haben einen Centrale Store, dort habe ich die aktuellsten tamplates hinkopiert. Ich habe mir sogar welche von einem Server 2016 kopiert und welche von einem Windows 10-1803. Leider taucht die Vorlage nicht im Editor der Gruppenrichtlinien auf.
Zugleich habe ich es auch über die RSAT probiert, funktioniert auch nicht
Habe mal zwei Bilder hinzuefügt um es euch vllt Bildlicher zu machen
@DerWoWusste, die Aktivierung der Verschlüsselung wird im nachhinein per Hand oder per Script angestoßen.
Vielen Dank
Die Vorlage gilt für mindestens2012/Win8 - das ist das, was ich bei mir auf 2016/RSAT von Win10 auch sehe und somit in Ordnung.
Dann verstehe ich das ganze nicht so wirklich. 
Es muss doch eine Möglichkeit geben, die Windows 10 PCs mit einer Bitlocker GPO über einen Server 2012 R2 auszustatten. Oder sehe ich das etwas falsch?
Es muss doch eine Möglichkeit geben, die Windows 10 PCs mit einer Bitlocker GPO über einen Server 2012 R2 auszustatten. Oder sehe ich das etwas falsch?
Ja, mach es doch einfach, die angezeigten GPOs gelten auch für Windows 10, denn Win10 IST doch eingeschlossen in "mindestens Windows 8".
Ja die Argumentation macht sinn.
Keine Ahnung wieso ich davon ausgegangen bin das unter Server 2012 auch eine Vorlage für Windows 10 sein muss /sollte.
Außer ein gpresult, gibt es noch eine andere Möglichkeit um zu sehen wie weit eine GPO kommt bzw. wo eine GPO greift? Vllt von der Serverseite aus?
Ich habe den Test PC in der Test OU wo die GPO drauf verknüpft und erzwungen wird. Mache ich ein gpresult, wird die GPO nicht mal angezeigt, geschweige denn als abgewiesen angezeigt. Die GPO ist auf ein Computerobjekt konfiguriert und das Computerobjekt ist auch berechtigt diese GPO zu Lesen.
Keine Ahnung wieso ich davon ausgegangen bin das unter Server 2012 auch eine Vorlage für Windows 10 sein muss /sollte.
Außer ein gpresult, gibt es noch eine andere Möglichkeit um zu sehen wie weit eine GPO kommt bzw. wo eine GPO greift? Vllt von der Serverseite aus?
Ich habe den Test PC in der Test OU wo die GPO drauf verknüpft und erzwungen wird. Mache ich ein gpresult, wird die GPO nicht mal angezeigt, geschweige denn als abgewiesen angezeigt. Die GPO ist auf ein Computerobjekt konfiguriert und das Computerobjekt ist auch berechtigt diese GPO zu Lesen.
Mach auf dem Test-PC auf einem elevated command prompt einmal
gpupdate
und dann shchau erneut mit gpresult nach, ob die GPO nun greift.
Erzwingen musst und solltest Du GPOs in der Regel nie.
gpupdate
und dann shchau erneut mit gpresult nach, ob die GPO nun greift.
Erzwingen musst und solltest Du GPOs in der Regel nie.
Gut, ich werde deinen Tipp umsetzten und dir dann von dem Ergebnis berichten!
Also, das Problem ist gelöst.
Mein Brett vorm Kopf war zu groß. Ich habe es gelöst, indem ich die RSAT Tools über den WIndows 10 Computer verwendet habe.
Ich benötige wirklich nicht die Vorlage wo explizit "Windows 10" vermerkt ist.
Zugleich hat es mir umso mehr etwas geholfen einfach mal die CMD als Administrator auszuführen.
Vielen Dank für die tolle Unterstützung.
Mein Brett vorm Kopf war zu groß. Ich habe es gelöst, indem ich die RSAT Tools über den WIndows 10 Computer verwendet habe.
Ich benötige wirklich nicht die Vorlage wo explizit "Windows 10" vermerkt ist.
Zugleich hat es mir umso mehr etwas geholfen einfach mal die CMD als Administrator auszuführen.
Vielen Dank für die tolle Unterstützung.
