Bitlocker：通過 cmd 和 GPO 加密所有計算機

Question

我必須將很多計算機加入一個新域，並且我想在所有計算機域中啟用 bitlocker。 我想創建一個 GPO，當我將一台新計算機加入域時，bitlocker 自動啟用。 我找到的解決方案是創建一個腳本來執行此操作，然后創建一個 GPO 來部署此腳本並查看 GPO 是否有效。 我測試了這個腳本並且完美運行：

$CdriveStatus = Get-BitLockerVolume -MountPoint 'c:'
if ($CdriveStatus.volumeStatus -eq 'FullyDecrypted') {
    C:\Windows\System32\manage-bde.exe -on c: -recoverypassword -skiphardwaretest
}

但是我想添加bitlocker的密碼和恢復密碼，但是我做不到。 我嘗試了這些修改，但它不起作用，我在啟動它時出錯：

1. 用密碼試試

   $pass = ConvertTo-SecureString "Password" -AsPlainText -Force $CdriveStatus = Get-BitLockerVolume -MountPoint 'c:' if ($CdriveStatus.volumeStatus -eq 'FullyDecrypted') { C:\\Windows\\System32\\manage-bde.exe -on c: -password $pass -recoverypassword -skiphardwaretest }

2. 用 PIN 碼試試

   $SecureString = ConvertTo-SecureString "1234" -AsPlainText -Force Enable-BitLocker -MountPoint c: -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

3. 用密碼試試

   $pass = ConvertTo-SecureString Passw0rd -AsPlainText -Force Enable-BitLocker -MountPoint c:\\ -EncryptionMethod Aes128 -Password $pass -PasswordProtector

請你能幫我一下好嗎？ 非常感謝。

Answer 1

• 請檢查恢復密鑰信息 GPO 是否在您的命令之一中選擇了 128 位密鑰。 如果沒有，請確保相同。

• 您發布的第三個命令有一些錯誤，如果您嘗試按以下方式更正它們，那么它們可能會在域加入過程中運行和執行：-

    ‘ $CdriveStatus = Get-BitLockerVolume -MountPoint 'C:'
     if ($CdriveStatus.volumeStatus -eq 'FullyDecrypted')
     { $SecureString = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
     Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly - 
     Password $SecureString -PasswordProtector -SkipHardwareTest } ‘

上面測試的命令將在系統域加入后立即啟動操作系統（即 C: 驅動器）上的加密過程，並在其上應用和更新所有必需的 GPO。 此外，請確保在 bitlocker GPO 中啟用了允許無 TPM 加密，因為沒有 TPM 設備無法啟動 bitlocker 加密，除非我們禁用 Windows 注冊表中的“僅允許使用 TPM 加密”標志，這只能通過 GPO 完成。