选择如何才能恢复受 BitLocker 保护的操作系统驱动器

使用此策略设置,可以控制在缺少所需启动密钥信息的情况下恢复受 BitLocker 保护的操作系统驱动器的方式。此策略设置将在打开 BitLocker 时应用。 "允许数据恢复代理"复选框用于指定数据恢复代理是否可用于受 BitLocker 保护的操作系统驱动器。在数据恢复代理可以使用之前,必须先在组策略管理控制台或本地组策略编辑器中的公钥策略项中添加该代理。有关添加数据恢复代理的详细信息,请参阅 Microsoft TechNet 上的 BitLocker 驱动器加密部署指南。 选中"省略 BitLocker 安装向导中的恢复选项"可阻止用户在对驱动器启用 BitLocker 时指定恢复选项。这意味着在启用 BitLocker 时不能指定要使用的恢复选项,驱动器的 BitLocker 恢复选项由策略设置确定。 在"将 BitLocker 恢复信息保存在 Active Directory 域服务中"中,选择要为操作系统驱动器在 AD DS 中存储哪些 BitLocker 恢复信息。如果选中"备份恢复密码和密钥数据包",则 BitLocker 恢复密码和密钥数据包都存储到 AD DS 中。如果存储密钥数据包,则可以从已物理损坏的驱动器中恢复数据。如果选中"仅备份恢复密码",则只将恢复密码存储到 AD DS 中。 若要在计算机未连接到域且未将 BitLocker 恢复信息成功备份到 AD DS 时阻止用户启用 BitLocker,则选中"在为操作系统驱动器将恢复信息存储到 AD DS 之前不启用 BitLocker"复选框。 注意: 如果选中"在为操作系统驱动器将恢复信息存储到 AD DS 之前不启用 BitLocker"复选框,则自动生成恢复密码。 如果启用此策略设置,则可以控制用户可用于从受 BitLocker 保护的操作系统驱动器中恢复数据的方法。 如果禁用或未配置此策略设置,则支持将默认恢复选项用于 BitLocker 恢复。默认情况下将允许 DRA,用户可以指定恢复选项(包括恢复密码和恢复密钥),并且恢复信息不备份到 AD DS。 当使用"BitLocker 管理解决方案"时,密钥恢复信息会被存储在密钥恢复服务器位置,该位置是使用在数据恢复类别中的服务器位置策略进行配置的。

支持的平台: 至少为 Windows 7 或 Windows Server 2008 R2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

允许数据恢复代理
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSManageDRA
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

当使用"BitLocker 管理解决方案"时,应该取消选中"为操作系统驱动器将 BitLocker 恢复信息保存到 AD DS 中"选项

省略 BitLocker 安装向导中的恢复选项
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSHideRecoveryPage
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
为操作系统驱动器将 BitLocker 恢复信息保存到 AD DS 中
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
配置将 BitLocker 恢复信息存储到 AD DS:


  1. 存储恢复密码和密钥数据包
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. 仅存储恢复密码
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

在为操作系统驱动器将恢复信息存储到 AD DS 之前禁止启用 BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

管理模板(计算机)

管理模板(用户)