选择如何才能恢复受 BitLocker 保护的可移动驱动器

使用此策略设置，可以控制在缺少所需凭证的情况下恢复受 BitLocker 保护的可移动数据驱动器的方式。此策略设置将在打开 BitLocker 时应用。

此"允许数据恢复代理"复选框用于指定是否可将数据恢复代理用于受 BitLocker 保护的可移动数据驱动器。在数据恢复代理可以使用之前，必须先在组策略管理控制台或本地组策略编辑器中的公钥策略项中添加该代理。有关添加数据恢复代理的详细信息，请参阅 Microsoft TechNet 上的 BitLocker 驱动器加密部署指南。

在"配置 BitLocker 恢复信息的用户存储"中，选择是允许、需要还是不允许用户生成 48 位数的恢复密码或 256 位恢复密钥。

选中"省略 BitLocker 安装向导中的恢复选项"可阻止用户在对驱动器启用 BitLocker 时指定恢复选项。这意味着在启用 BitLocker 时不能指定要使用的恢复选项，驱动器的 BitLocker 恢复选项由策略设置确定。

在"将 BitLocker 恢复信息保存在 Active Directory 域服务中"中，选择要为可移动数据驱动器在 AD DS 中存储哪些 BitLocker 恢复信息。如果选中"备份恢复密码和密钥数据包"，则 BitLocker 恢复密码和密钥数据包都存储到 AD DS 中。如果选中"仅备份恢复密码"，则只将恢复密码存储到 AD DS 中。

若要在计算机未连接到域且未将 BitLocker 恢复信息成功备份到 AD DS 时阻止用户启用 BitLocker，则选中"在为可移动数据驱动器将恢复信息存储到 AD DS 之前不启用 BitLocker"复选框。

注意: 如果选中"在为固定数据驱动器将恢复信息存储到 AD DS 之前不启用 BitLocker"复选框，则自动生成恢复密码。

如果启用此策略设置，则可以控制用户可用于从受 BitLocker 保护的可移动数据驱动器中恢复数据的方法。

如果不配置或禁用此策略设置，则支持将默认恢复选项用于 BitLocker 恢复。默认情况下将允许 DRA，用户可以指定恢复选项(包括恢复密码和恢复密钥)，并且恢复信息不备份到 AD DS
          在"中BitLocker恢复信息配置用户存储"用户选择是否允许，需要或不允许生成48位的恢复密码或256位恢复密钥。

          选择"从BitLocker安装向导省略恢复选项"，以防止用户指定恢复选项，当他们的驱动器上启用BitLocker。这意味着你将不能指定当您启用BitLocker的，而不是用于驱动BitLocker恢复选项是由策略设置来确定要使用的恢复选项。

          在"BitLocker恢复信息保存到Active Directory域服务"，选择在AD DS来存储移动数据驱动器的BitLocker恢复信息。如果选择"备份恢复密码和密钥包"，无论是BitLocker恢复密码和密钥包存储在AD DS。如果选择"备份恢复密码只是"只恢复密码存储在AD DS。

          如果你想防止用户启用BitLocker，除非计算机连接到域以及BitLocker恢复信息的AD DS成功备份选择"不启用BitLocker，直到恢复信息存储在AD DS为移动数据驱动器"复选框。

          注意：如果"不启用BitLocker，直到恢复信息存储在AD DS为移动数据驱动器"复选框被选中，会自动生成一个恢复密码。

          如果启用此策略设置，您可以控制​​可供用户来恢复受BitLocker保护的可移动数据驱动器数据的方法。

          如果此策略设置未配置或禁用，则使用默认恢复选项的BitLocker恢复支持。默认情况下，DRA是允许的，恢复选项可以通过包括恢复密码和恢复密钥，用户可以指定，并且恢复信息不会备份到AD DS

允许数据恢复代理

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE
Value Name	RDVManageDRA
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

配置 BitLocker 恢复信息的用户存储:

0. 允许 48 位数的恢复密码
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVRecoveryPassword
   Value Type	REG_DWORD
   Value	2

1. 需要 48 位数的恢复密码
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVRecoveryPassword
   Value Type	REG_DWORD
   Value	1

0. 允许 256 位恢复密钥
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVRecoveryKey
   Value Type	REG_DWORD
   Value	2

1. 需要 256 位恢复密钥
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVRecoveryKey
   Value Type	REG_DWORD
   Value	1

2. 不允许 256 位恢复密钥
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVRecoveryKey
   Value Type	REG_DWORD
   Value	0

省略 BitLocker 安装向导中的恢复选项

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE
Value Name	RDVHideRecoveryPage
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

为可移动数据驱动器将 BitLocker 恢复信息保存到 AD DS 中

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE
Value Name	RDVActiveDirectoryBackup
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

配置将 BitLocker 恢复信息存储到 AD DS:

0. 备份恢复密码和密钥数据包
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVActiveDirectoryInfoToStore
   Value Type	REG_DWORD
   Value	1

1. 仅备份恢复密码
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE
   Value Name	RDVActiveDirectoryInfoToStore
   Value Type	REG_DWORD
   Value	2

在为可移动数据驱动器将恢复信息存储到 AD DS 之前禁止启用 BitLocker

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE
Value Name	RDVRequireActiveDirectoryBackup
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0