Wenn man die Bitlocker-Wiederherstellungsschlüssel in der Domäne speichert, kann es zu dem Fall kommen, dass ein Computerobjekt keinen Schlüssel zur Verfügung hat, obwohl das System selber sich trotzdem in der Domäne befindet.
Meistens passiert dieses, wenn ein Rechner-Objekt in der Domäne gelöscht wird und wieder aufgenommen wird. Bei der Domänenaufnahme wird der Bitlockerschlüssel nicht wieder an den Domänencontroller übergeben. Dieses kann aber durch ein VBS-Skript durchgeführt werden.
Ich veröffentliche hier das Skript unter Nutzung von „Deutsch“ als Displaysprache. Das von Microsoft verfügbare Skript ist auf Englisch ausgelegt und wurde von mir angepasst.
Option Explicit Dim strNumericalKeyID Dim strManageBDE,strManageBDE2 Dim oShell Dim StrPath Dim StdOut, strCommand Dim Result, TPM, strLine Dim Flag, NumericalKeyID Set oShell = CreateObject("WSCript.Shell") strManageBDE = "Manage-BDE.exe -protectors -get c:" Flag = False Set Result = oShell.Exec(strManageBDE) Set TPM = Result.StdOut While Not TPM.AtEndOfStream strLine = TPM.ReadLine 'Sets strLine If InStr(strLine, "Numerisches Kennwort:") Then Flag = True End If If Flag = True Then If InStr(strLine, "ID:") Then NumericalKeyID = Trim(strLine) NumericalKeyID = Right(NumericalKeyID, Len(NumericalKeyID)-4) Flag = False End If End If Wend strManageBDE2 = "Manage-BDE.exe -protectors -adbackup C: -ID " & NumericalKeyID oShell.Run strManageBDE2, 0, True
Dieses Skript kann auch automatisiert regelmäßig ausgeführt werden, da der Wiederherstellungsschlüssel mit dem entsprechenden Datum seiner Erstellung in der AD gespeichert wird und nicht bei jeder Übermittlung des entsprechenden Wertes. Somit kann eine Ablage dieses wichtigen Objektes in der Active Directory gewährleistet werden ohne zusätzliches Datenvolumen in der AD aufzubauen.