Denne policyinnstillingen konfigurerer hvor mye informasjon om TPM-eierautorisering som er lagret i registret til den lokale datamaskinen. Operativsystemet og TPM-baserte programmer kan utføre bestemte TPM-handlinger som krever TPM-eierautorisering uten å kreve at brukeren skriver inn TPM-eierpassordet, avhengig av hvor mye informasjon om TPM-eierautorisering som lagres lokalt.
Du kan velge å få operativsystemet til å lagre den fullstendige verdien for eierautorisering for TPM, den administrative delegeringsbloben for TPM, delegeringsbloben for TPM-bruker eller ingen.
Hvis du aktiverer denne policyinnstillingen, lagrer Windows TPM-eierautorisering i registret på den lokale datamaskinen i henhold til den operativsystemadministrerte TPM-godkjenningsinnstillingen du velger.
Velg den operativsystemadministrerte TPM-godkjenningsinnstillingen Full for å lagre den fullstendige TPM-eierautoriseringen, den administrative delegeringsbloben for TPM og delegeringsbloben for TPM-bruker i det lokale registret. Denne innstillingen tillater bruk av TPM uten å kreve fjern eller ekstern lagring av verdien for TPM-eierautorisering. Denne innstillingen er nok for scenarier som ikke avhenger av forhindring av tilbakestilling av logikk for TPM-antihammering eller endring av verdien for TPM-eierautorisering. Noen TPM-baserte programmer kan kreve at denne innstillingen endres før funksjoner som avhenger av logikken for TPM-antihammering, kan brukes.
Velg den operativsystemadministrerte TPM-godkjenningsinnstillingen Delegert for bare å lagre den administrative delegeringsbloben for TPM og delegeringsbloben for TPM-bruker i det lokale registret. Denne innstillingen passer for bruk med TPM-baserte programmer som avhenger av logikk for TPM-antihammering. Ekstern eller fjern lagring av den fullstendige verdien for TPM-eierautorisering, for eksempel ved å sikkerhetskopiere verdien til Active Directory Domain Services (AD DS), anbefales ved bruk av denne innstillingen.
Velg den operativsystemadministrerte TPM-godkjenningsinnstillingen Ingen for kompatibilitet med tidligere operativsystemer og programmer, eller for bruk med scenarier som krever at TPM-eierautorisering ikke lagres lokalt. Bruk av denne innstillingen kan forårsake problemer med noen TPM-baserte programmer.
Hvis denne policyinnstillingen er deaktivert eller ikke konfigurert, og policyinnstillingen Aktiver TPM-sikkerhetskopiering til domenetjenester for Active Directory også er deaktivert eller ikke konfigurert, er standardinnstillingen å lagre den fullstendige verdien for TPM-autorisering i det lokale registret. Hvis denne policyinnstillingen er deaktivert eller ikke konfigurert, og gruppepolicyinnstillingen Aktiver TPM-sikkerhetskopiering til domenetjenester for Active Directory er aktivert, lagres bare bloben for administrativ delegering og brukerdelegering i det lokale registret.
Obs! Hvis den operativsystemadministrerte TPM-godkjenningsinnstillingen endres fra Full til Delegert, blir den fullstendige verdien for TPM-eierautorisering generert på nytt, og alle kopier av den opprinnelige verdien for TPM-eierautorisering vil være ugyldige. Hvis du sikkerhetskopierer verdien for TPM-eierautorisering til AD DS, sikkerhetskopieres den nye verdien for eierautorisering automatisk til AD DS når den endres.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 4 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 0 |