To ustawienie zasad umożliwia zarządzanie kopią zapasową informacji odzyskiwania szyfrowania dysków funkcją BitLocker w usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services). Umożliwia ono korzystanie z administracyjnej metody odzyskiwania danych zaszyfrowanych funkcją BitLocker, dzięki czemu można uniknąć utraty danych spowodowanej brakiem informacji klucza. Ta zasada dotyczy tylko komputerów z systemem Windows Server 2008 lub Windows Vista.
Jeżeli to ustawienie zasad zostanie włączone, kopie zapasowe informacji odzyskiwania funkcji BitLocker będą automatycznie wykonywane w trybie dyskretnym w usługach domenowych w usłudze Active Directory, gdy na komputerze będzie włączona funkcja BitLocker. To ustawienie zasad jest stosowane po włączeniu funkcji BitLocker.
Uwaga: Aby kopia zapasowa w usługach AD DS została wykonana pomyślnie, należy najpierw skonfigurować odpowiednie rozszerzenia schematów i ustawienia kontroli dostępu w domenie. Zobacz Podręcznik wdrażania szyfrowania dysków funkcją BitLocker w witrynie Microsoft TechNet, aby uzyskać więcej informacji dotyczących konfigurowania kopii zapasowych w usługach AD DS dla funkcji BitLocker.
Informacje odzyskiwania funkcji BitLocker obejmują hasło odzyskiwania oraz unikatowe dane identyfikatora. Można też dołączyć do nich pakiet zawierający klucz szyfrowania dysku chronionego funkcją BitLocker. Ten pakiet klucza jest zabezpieczony za pomocą co najmniej jednego hasła odzyskiwania i może być pomocny podczas wykonywania specjalistycznego odzyskiwania w przypadku uszkodzenia lub zniszczenia dysku.
Jeżeli zostanie wybrana opcja Wymagaj kopii zapasowej funkcji BitLocker w usługach AD DS, funkcji BitLocker nie będzie można włączyć, jeśli komputer nie będzie przyłączony do domeny, a wykonanie kopii zapasowej informacji odzyskiwania funkcji BitLocker w usługach AD DS się nie powiedzie. Ta opcja jest wybrana domyślnie w celu zapewnienia możliwości odzyskiwania funkcji BitLocker. Jeżeli ta opcja nie zostanie wybrana, zostanie podjęta próba wykonania kopii zapasowej w usługach AD DS, ale błędy sieci lub inne błędy podczas wykonywania kopii zapasowej nie uniemożliwią instalacji funkcji BitLocker. Nie zostanie automatycznie podjęta próba ponownego wykonania kopii zapasowej, a hasło odzyskiwania nie będzie mogło być przechowywane w usługach AD DS podczas instalacji funkcji BitLocker.
Jeżeli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, nie będzie wykonywana kopia zapasowa informacji odzyskiwania funkcji BitLocker w usługach AD DS.
Uwaga: Podczas instalacji funkcji BitLocker może być konieczne zainicjowanie modułu TPM. Aby zagwarantować wykonanie kopii zapasowej informacji modułu TPM, należy włączyć ustawienie zasad Włącz wykonywanie kopii zapasowej modułu TPM w usługach domenowych w usłudze Active Directory w lokalizacji System\Usługi modułu TPM.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | ActiveDirectoryBackup |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | RequireActiveDirectoryBackup |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
Po wybraniu tej opcji nie będzie można uruchomić funkcji BitLocker, jeśli wykonywanie kopii zapasowej się nie powiedzie (zalecane ustawienie domyślne).
Jeżeli ta opcja nie zostanie wybrana, funkcję BitLocker będzie można włączyć nawet wtedy, gdy wykonywanie kopii zapasowej się nie powiedzie. Nie będzie podejmowana automatyczna ponowna próba wykonania kopii zapasowej.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | ActiveDirectoryInfoToStore |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | ActiveDirectoryInfoToStore |
Value Type | REG_DWORD |
Value | 2 |
Hasło odzyskiwania to 48-cyfrowa liczba odblokowująca dostęp do dysku chronionego funkcją BitLocker.
Pakiet klucza zawiera klucz szyfrowania funkcji BitLocker dla dysku zabezpieczony za pomocą co najmniej jednego hasła odzyskiwania
Pakiety kluczy mogą być pomocne podczas specjalistycznego odzyskiwania w przypadku uszkodzenia lub zniszczenia dysku.