Bitlocker：通过 cmd 和 GPO 加密所有计算机

Question

我必须将很多计算机加入一个新域，我想在所有计算机域中启用 bitlocker。 我想创建一个 GPO，当我将新计算机加入域时，bitlocker 会自动启用。 我找到的解决方案是创建一个脚本来执行此操作，然后创建一个 GPO 来部署此脚本并查看 GPO 是否有效。 我测试了这个脚本并且运行良好：

$CdriveStatus = Get-BitLockerVolume -MountPoint 'c:'
if ($CdriveStatus.volumeStatus -eq 'FullyDecrypted') {
    C:\Windows\System32\manage-bde.exe -on c: -recoverypassword -skiphardwaretest
}

但是我想添加bitlocker的密码和恢复密码，但是我做不到。 我尝试了这些修改，但它不起作用，而且我在启动时出错：

1. 用密码试试

   $pass = ConvertTo-SecureString "密码" -AsPlainText -Force $CdriveStatus = 获取 BitLockerVolume -MountPoint 'c:' if ($CdriveStatus.volumeStatus -eq 'FullyDecrypted') { C:\Windows\System32\manage-bde.exe -on c: -password $pass -recoverypassword -skiphardwaretest }

2. 尝试使用 PIN 码

   $SecureString = ConvertTo-SecureString "1234" -AsPlainText -Force Enable-BitLocker -MountPoint c: -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

3. 用密码试试

   $pass = ConvertTo-SecureString Passw0rd -AsPlainText -Force Enable-BitLocker -MountPoint c:\ -EncryptionMethod Aes128 -Password $pass -PasswordProtector

请您帮帮我好吗？ 非常感谢。

Answer 1

• 请检查恢复密钥信息 GPO 是否在您的命令之一中选择了 128 位密钥。如果不是，请确保相同。

• 您发布的第三条命令有一些错误，如果您尝试如下更正它们，那么它们可能可以在加入域的过程中运行和执行：-

    ‘ $CdriveStatus = Get-BitLockerVolume -MountPoint 'C:'
     if ($CdriveStatus.volumeStatus -eq 'FullyDecrypted')
     { $SecureString = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
     Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly - 
     Password $SecureString -PasswordProtector -SkipHardwareTest } ‘

上述测试命令将在系统域加入后立即在操作系统（即 C: 盘）上启动加密过程，并在其上应用和更新所有必需的 GPO。此外，请确保在 bitlocker GPO 中启用了不使用 TPM 的加密，因为如果没有 TPM 设备，则无法启动 bitlocker 加密，除非我们禁用 Windows 注册表中的“仅允许使用 TPM 加密”标志，该标志只能通过 GPO 完成。