Wenn man die Bitlocker-Wiederherstellungsschlüssel in der Domäne speichert, kann es zu dem Fall kommen, dass ein Computerobjekt keinen Schlüssel zur Verfügung hat, obwohl das System selber sich trotzdem in der Domäne befindet.
Meistens passiert dieses, wenn ein Rechner-Objekt in der Domäne gelöscht wird und wieder aufgenommen wird. Bei der Domänenaufnahme wird der Bitlockerschlüssel nicht wieder an den Domänencontroller übergeben. Dieses kann aber durch ein VBS-Skript durchgeführt werden.
Ich veröffentliche hier das Skript unter Nutzung von „Deutsch“ als Displaysprache. Das von Microsoft verfügbare Skript ist auf Englisch ausgelegt und wurde von mir angepasst.
Option Explicit
Dim strNumericalKeyID
Dim strManageBDE,strManageBDE2
Dim oShell
Dim StrPath
Dim StdOut, strCommand
Dim Result, TPM, strLine
Dim Flag, NumericalKeyID
Set oShell = CreateObject("WSCript.Shell")
strManageBDE = "Manage-BDE.exe -protectors -get c:"
Flag = False
Set Result = oShell.Exec(strManageBDE)
Set TPM = Result.StdOut
While Not TPM.AtEndOfStream
strLine = TPM.ReadLine 'Sets strLine
If InStr(strLine, "Numerisches Kennwort:") Then
Flag = True
End If
If Flag = True Then
If InStr(strLine, "ID:") Then
NumericalKeyID = Trim(strLine)
NumericalKeyID = Right(NumericalKeyID, Len(NumericalKeyID)-4)
Flag = False
End If
End If
Wend
strManageBDE2 = "Manage-BDE.exe -protectors -adbackup C: -ID " & NumericalKeyID
oShell.Run strManageBDE2, 0, True
Dieses Skript kann auch automatisiert regelmäßig ausgeführt werden, da der Wiederherstellungsschlüssel mit dem entsprechenden Datum seiner Erstellung in der AD gespeichert wird und nicht bei jeder Übermittlung des entsprechenden Wertes. Somit kann eine Ablage dieses wichtigen Objektes in der Active Directory gewährleistet werden ohne zusätzliches Datenvolumen in der AD aufzubauen.