Вход Регистрация
Serverspace Black Friday
БС
Борислав Сухарев
августа 10, 2022
Обновлено ноября 30, 2025

Как сохранить и управлять ключами восстановления BitLocker в Windows AD

AD Windows

В этой статье будет описан процесс добавления ключей восстановления BitLocker в Windows AD.

Подготовительный этап

Для настройки безопасного сохранения ключей BitLocker в AD, ваша платформа должна отвечать данным требованиям:

  • Операционная система не ниже Win 8.1 Enterprise; Win 10 PRO
  • На клиентских пк должен присутствовать модуль TPM 2.0
  • Обновите файлы ADMX

Шаг 1. Создание Organizational Unit

Что бы включить безопасное хранение ключей зашифрованных дисков в домене, требуется настроить Group Policy Object.

Открываем панель управления GPO (Можно найти в поиске системы Group Policy Management), или же воспользоваться командой :

gpmc.msc

Создаем новую групповую политику в том Organizational Unit с компьютерами, для которых требуется автоматическое сохранение ключей (В нашем примере будет OU – ClientPC).

1 BitLocker

Шаг 2. Создание и настройка GPO (Group Policy Object)

Создаём отдельную групповую политику, переходим в раздел GPO который указан на примере ниже и включите политику "Store BitLocker recovery information in AD".

2 BitLocker

После этого переходим в раздел Operating System Drives и включаем политику “Choose how BitLocker-protected operating system drives can be recovered”.

3 BitLocker

Последний пункт в данной опции служит для того что бы BitLocker не зашифровал диск пока персональный компьютер не отправил ключ в домен.

    Если требуется сохранять ключи восстановления на флеш накопителях, то настройте политику в разделе Group Policy Objects: “Removable Data Drives” и “Fixed Data Drives”.

    Шаг 3. Обновление Group Policy Object

    Обновляем настройки политик на компьютерах клиентов:

    gpupdate /force

    4 BitLocker

    Шаг 4. Шифрование диска BitLocker

    Зашифруйте ваш диск используя BitLocker.

    5 BitLocker

    Ваш ключ сохранится в домене, диск зашифруется автоматически.

    На 1 ПК можно использовано несколько паролей BitLocker (Для разных переносных флеш накопителей).

    Шаг 5. Если диск уже зашифрован

    Если диск был зашифрован ранее, воспользуйтесь командой ниже.

    manage-bde -protectors -get c:

    Вместо “c” укажите букву вашего диска.

    6 BitLocker

    Нужно значение пункта “Numerical Password” или “Числовой Пароль” (К примеру, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

    Выполняем команду для добавления ключа в AD.

    manage-bde -protectors -adbackup C: -id {6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2}

    7 BitLocker

    Управление данными BitLocker в AD.

    Для управления и настройкой BitLocker клиентских компьютеров требуется установить на сервере компоненты:

    8 BitLocker

    После установки компонента требуется перезагрузить сервер.

    Заходим в панель управления AD Пользователи и компоненты, открыв свойства пк, вы увидите новую вкладку “BitLocker Recovery”, в этой вкладке мы увидим наш ключ шифрования.

    9 BitLocker

    Если кто то из пользователей не сможет авторизоваться, то администратор сможет найти в домене ключ шифрования и используя его сотрудник с легкостью авторизуется.

    10 BitLocker

    Найти ключ восстановления можно благодаря первым 8 символам (В нашем случае 6CEF9111).

    11 BitLocker

    Для безопасности, права на просмотр ключей BitLocker имеет только Администратор домена, но это можно исправить, выдав права другим пользователям домена.

    Итог

    Как видите на примере данной публикации, хранить ключи зашифрованных дисков в домене не так и сложно, надеемся, что наша статья помогла вам!
    Помимо озвученных настроек, в групповых политик, много других опций которые помогут вам в работе с BitLocker в дальнейшем.

    FAQ

    • В: Какие версии Windows поддерживают хранение ключей BitLocker в AD?
      О: Минимальные требования — Windows 8.1 Enterprise или Windows 10 Pro.
    • В: Нужно ли обновлять ADMX файлы перед настройкой?
      О: Да, для корректной работы политик BitLocker рекомендуется использовать актуальные ADMX файлы.
    • В: Могу ли я сохранить ключи восстановления на флешке?
      О: Да, настройте соответствующую политику для Removable Data Drives в GPO.
    • В: Что делать, если диск уже зашифрован?
      О: Используйте команду manage-bde -protectors -get C: для получения числового пароля, затем добавьте ключ в AD через manage-bde -protectors -adbackup C: -id {GUID}.
    • В: Кто может просматривать ключи BitLocker в AD?
      О: По умолчанию только администраторы домена. Права можно расширить для других пользователей по необходимости.
    • В: Как обновить Group Policy на клиентских ПК?
      О: Используйте команду gpupdate /force для применения настроек.
    • В: Можно ли использовать несколько ключей BitLocker на одном ПК?
      О: Да, для разных переносных накопителей можно назначить отдельные пароли.
    Оценка:
    4 из 5
    Аverage rating : 4.5
    Оценок: 4
    050000 г. Алматы пр. Сейфуллина, д. 502
    +7 (771) 944-45-66
    ООО «ИТГЛОБАЛКОМ ЛАБС»
    Подготовительный этап
    Шаг 1. Создание Organizational Unit
    Шаг 2. Создание и настройка GPO (Group Policy Object)
    Шаг 3. Обновление Group Policy Object
    Шаг 4. Шифрование диска BitLocker
    Шаг 5. Если диск уже зашифрован
    Управление данными BitLocker в AD.
    Итог
    FAQ

    Спасибо! Укажите причину низкой оценки, чтобы мы могли улучшить статью

    Написать Serverspace