Windows-Praxis: Laufwerke mit BitLocker verschlüsseln

BitLocker und Active-Directory-Domänen

Das Wiederherstellungskennwort von BitLocker kann in einem Ordner oder auf einem oder mehreren USB-Geräten gespeichert oder einfach ausgedruckt werden. Ein Administrator kann außerdem eine Gruppenrichtlinie konfigurieren, um Wiederherstellungskennwörter automatisch zu generieren und diese in Active Directory zu sichern. Die BitLocker-Wiederherstellungsinformationen speichert Windows in einem untergeordneten Objekt eines Computerkontos in Active Directory.

Das bedeutet, das Computerobjekt ist der Container für das BitLocker-Wiederherstellungsobjekt. Der allgemeine Name (Common Name, CN) von Active Directory für das BitLocker-Wiederherstellungsobjekt lautet ms-FVE-RecoveryInformation und enthält Attribute wie ms-FVE-RecoveryPassword und ms-FVE-RecoveryGuid. Pro Computer ist immer nur ein TPM-Besitzerkennwort möglich.

Um Daten des TPM im Active Directory zu speichern, müssen Sie weitere Richtlinien setzen. Diese finden Sie über Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform-Module-Dienste. Zusätzlich müssen Sie noch einige Rechte ändern und Anwendern auch das Recht geben, eigene Daten zu verwalten. Sie benötigen dazu ein VBS-Skript, das Microsoft aber zur Verfügung stellt. Die entsprechende Anleitung dazu finden Sie direkt in im TechNet.