手动将 BitLocker 恢复密钥备份到 AD

在这篇文章中，我将向您展示如何手动将 BitLocker 恢复密钥备份到 Active Directory。这还可以帮助您在 Windows 操作系统中启用 BitLocker 后备份 AD 中的恢复信息。

BitLocker 是 Windows 10 专业版和企业版中提供的一项加密功能。但是，它需要系统上有可信平台模块 (TPM)。与 TPM 一起使用时，BitLocker 可提供最佳的安全性。

在某些情况下，您可能需要手动将 BitLocker 密钥上传到 AD：-

• 想象一下，您已经对一台运行 Windows 10 操作系统的计算机进行了映像。您启用 BitLocker 加密并将计算机加入域。您现在可能希望将 BitLocker 密钥备份到 AD。
• 可能是启用 BitLocker 时计算机未连接到网络。因此，恢复信息无法保存到 Active Directory。
• 加密时可能未启用将恢复信息保存到 AD 的组策略设置。
• 您注意到 AD 中的计算机对象不显示 BitLocker 恢复密钥。您解决该问题并修复组策略问题。但是，您可能希望手动将密钥保存到 AD。

手动将 BitLocker 恢复密钥备份到 AD

有一种简单的方法可以将 BitLocker 恢复密钥手动备份到 Active Directory。您无需解密并重新加密驱动器即可将恢复信息存储在 AD 中。

首先，您需要本地管理员权限才能运行管理bde命令。因此，请确保您使用正确的帐户来执行这些步骤。

在Windows 10计算机上，您可以使用manage-bde.exe命令将恢复信息保存在AD中。如果您尚未启用 BitLocker 加密，则必须首先执行此操作。加密您的硬盘并将恢复密钥临时保存在文件中。

最重要的是，请记住，仅当客户端计算机已收到将信息保存到 AD 的组策略设置时，以下步骤才有效。否则您将看到错误：组策略不允许将恢复信息存储到 Active Directory。未尝试该操作。

打开提升的命令提示符并运行以下命令。

管理-bde -protectors -get c:

运行上述命令会输出 TPM 详细信息、数字密码和 BitLocker 恢复密钥。记下该卷的数字密码保护器。

要将 BitLocker 恢复密钥手动备份到 Active Directory，请运行以下命令。请记住将 -id 替换为您的数字密码。

管理-bde -protectors -adbackup c:-id {B378095C-D929-4711-B30F-63B9057D0E05}

最后查找消息“恢复信息已成功备份到 Active Directory”。