選擇使用者如何修復受 BitLocker 保護的磁碟機 (Windows Server 2008 與 Windows Vista)

這個原則設定可讓您控制 BitLocker 磁碟機加密安裝精靈能否顯示和指定 BitLocker 修復選項。這個原則只適用於執行 Windows Server 2008 或 Windows Vista 的電腦。開啟 BitLocker 時會套用這個原則設定。

在沒有必要的啟動金鑰資訊時,有兩個修復選項可用來解除鎖定 BitLocker 加密的資料。使用者可以輸入 48 位數的數字修復密碼,或插入內含 256 位元修復金鑰的 USB 快閃磁碟機。

如果您啟用這個原則設定,您可以設定安裝精靈向使用者顯示用於修復 BitLocker 加密資料的選項。若儲存到 USB 快閃磁碟機,48 位數的修復密碼會儲存成文字檔,而 256 位元的修復金鑰則會儲存成隱藏檔。若儲存至資料夾,則會將 48 位數的修復密碼儲存成文字檔。列印會將 48 位數的修復密碼傳送到預設印表機。例如,不允許使用 48 位數的修復密碼會導致使用者無法列印修復資訊或將修復資訊儲存至資料夾。

如果您停用或未設定這個原則設定,BitLocker 安裝精靈會顯示儲存修復選項的方式。

注意: 如果在 BitLocker 安裝期間必須初始化信賴平台模組 (TPM),TPM 擁有者資訊會與 BitLocker 修復資訊一起儲存或列印。

注意: 在 FIPS 相容模式中無法使用 48 位數的修復密碼。

重要事項: 這個原則設定提供了系統管理的方法來修復由 BitLocker 加密的資料,以防止因為缺少金鑰資訊而遺失資料。如果兩個使用者修復選項都不允許,您必須啟用 [將 BitLocker 修復資訊儲存在 Active Directory 網域服務中 (Windows Server 2008 與 Windows Vista)] 原則設定,以免發生原則錯誤。

支援的作業系統: Windows Server 2008 與 Windows Vista

重要事項: 為防止資料遺失,您必須具有修復 BitLocker 加密金鑰的方法。如果不允許下列兩個修復選項,您必須啟用將 BitLocker 修復資訊備份到 AD DS。否則會發生原則錯誤。

設定 48 位數的修復密碼:


  1. 需要修復密碼 (預設)
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryPassword
    Value TypeREG_DWORD
    Value1
  2. 不允許修復密碼
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryPassword
    Value TypeREG_DWORD
    Value0

設定 256 位元的修復金鑰:


  1. 需要修復金鑰 (預設)
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryDrive
    Value TypeREG_DWORD
    Value1
  2. 不允許修復金鑰
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryDrive
    Value TypeREG_DWORD
    Value0

注意: 如果不允許修復密碼,且需要修復金鑰,使用者就必須儲存到 USB,才能開啟 BitLocker。


volumeencryption.admx

系統管理範本 (電腦)

系統管理範本 (使用者)