Vælg, hvordan BitLocker-beskyttede operativsystemdrev kan genoprettes

Med denne politikindstilling kan du styre, hvordan BitLocker-beskyttede operativsystemdrev genoprettes, hvis de krævede startnøgleoplysninger mangler. Denne politikindstilling anvendes, når du aktiverer BitLocker.

Afkrydsningsfeltet "Tillad betroet bruger til genoprettelse af certifikatbaserede data" bruges til at angive, om en betroet bruger til genoprettelse af data kan bruges til BitLocker-beskyttede operativsystemdrev. Inden en betroet bruger til genoprettelse af data kan bruges, skal brugeren tilføjes fra elementet Politikker for offentlige nøgler i enten Group Policy Management Console eller Lokal editor til gruppepolitikobjekter. Du kan finde flere oplysninger om tilføjelse af betroede brugere til genoprettelse af data i installationsvejledningen BitLocker Drive Encryption Deployment Guide på Microsoft TechNet.

I "Konfigurer brugerlagrede data fra BitLocker-genoprettelsesoplysninger" skal du vælge, om det er tilladt, krævet eller ikke tilladt for brugere at oprette en genoprettelsesadgangskode på 48 cifre eller en genoprettelsesnøgle på 256 bit.

Vælg "Udelad genoprettelsesindstillinger i guiden til konfiguration af BitLocker" for at forhindre brugere i at angive genoprettelsesindstillinger, når de aktiverer BitLocker på et drev. Det betyder, at du ikke kan angive, hvilken genoprettelsesindstilling der skal bruges, når du aktiverer BitLocker. I stedet bestemmes BitLocker-genoprettelsesoplysninger for drevet af politikindstillingen.

I "Gem BitLocker-genoprettelsesoplysninger i Active Directory-domænetjenester" skal du vælge, hvilke BitLocker-genoprettelsesoplysninger der skal gemmes i Active Directory-domænetjenester for operativsystemdrevene. Hvis du vælger "Sikkerhedskopiér genoprettelsesadgangskode og nøglepakke", gemmes både BitLocker-genoprettelsesadgangskoden og nøglepakken i Active Directory-domænetjenester. Lagring af nøglepakken understøtter genoprettelse af data fra et drev, som er fysisk beskadiget. Hvis du vælger "Sikkerhedskopiér kun genoprettelsesadgangskode", er det kun genoprettelsesadgangskoden, som gemmes i Active Directory-domænetjenesten.

Markér afkrydsningsfeltet "Aktivér ikke BitLocker, før genoprettelsesoplysninger er gemt i Active Directory-domænetjenesten for operativsystemdrev", hvis du vil forhindre brugere i at aktivere BitLocker, medmindre computeren har forbindelse til domænet, og sikkerhedskopieringen af BitLocker-genoprettelsesoplysninger til Active Directory lykkes.

Bemærk! Hvis afkrydsningsfeltet "Aktivér ikke BitLocker, før genoprettelsesoplysninger er gemt i Active Directory-domænetjenesten for operativsystemdrev" er markeret, oprettes der automatisk en genoprettelsesadgangskode.

Hvis du aktiverer denne politikindstilling, kan du styre, hvilke metoder til genoprettelse af data fra BitLocker-beskyttede operativsystemdrev der skal være tilgængelige for brugere.

Hvis denne politikindstilling deaktiveres eller ikke konfigureres, understøttes standardindstillingerne for BitLocker-genoprettelse. Som standard er en DRA tilladt, genoprettelsesindstillingerne, herunder genoprettelsesadgangskode og genoprettelsesnøgle, kan angives af brugeren, og genoprettelsesoplysninger sikkerhedskopieres ikke til Active Directory-domænetjenesten.

Understøttet på: Mindst Windows Server 2008 R2 eller Windows 7

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Tillad betroet bruger til genoprettelse af data
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSManageDRA
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Konfigurer brugerlagring af BitLocker-genoprettelsesoplysninger:




  1. Tillad 48-cifret genoprettelsesadgangskode
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value2
  2. Kræv 48-cifret genoprettelsesadgangskode
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value1
  3. Tillad ikke 48-cifret genoprettelsesadgangskode
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value0




  1. Tillad 256-bit genoprettelsesnøgle
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value2
  2. Kræv 256-bit genoprettelsesnøgle
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value1
  3. Tillad ikke 256-bit genoprettelsesnøgle
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value0

Udelad genoprettelsesindstillinger i guiden til konfiguration af BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSHideRecoveryPage
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
Gem BitLocker-genoprettelsesoplysninger i Active Directory-domænetjenester for operativsystemdrev
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSActiveDirectoryBackup
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
Konfigurer lagring af BitLocker-genoprettelsesoplysninger i Active Directory-domænetjenester:


  1. Gem genoprettelsesadgangskoder og nøglepakker
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. Gem kun genoprettelsesadgangskoder
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

Aktivér ikke BitLocker, før genoprettelsesoplysninger er gemt i Active Directory-domænetjenester for operativsystemdrev
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Administrative skabeloner (computere)

Administrative skabeloner (brugere)