HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥

[ 2021/07/30 15:59 | by gOxiA ]

logo_intune

HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥

        通过 Intune 我们可以在 Endpoint Manager 管理中心的“终结点安全性”下对客户端的“磁盘加密”进行管理。目前支持固定驱动器、可移动驱动器、OS 驱动器,以及基本设置的管理配置。

intune_bitlocker_1

        但不当的配置也会对客户端的正常部署造成困扰,正如本例所要分享的,IT人员希望借助“磁盘加密”策略实现客户端自动化静默启用 Bitlocker,但结果并不如人意。你可以看到如下图所示,设备在经历 Autopilot 配置进入系统桌面后,系统栏弹出磁盘加密的需求提示,当点击这个通知会弹出“是否已准备好开始加密?”的向导。

Bitlocker_setup

        根据提示,确认没有安装和使用第三方的加密软件,但执行结果却失败了!提示“无法创建恢复密码和恢复密钥……”。此时,我们可以通过“事件查看器”,在“应用程序和服务日志 - Microsoft - Windows - Bitlocker-API - Management”下找到线索,可从下方截图中看到 ID 4103 的记录,Error Message 为“组策略设置不允许创建恢复密码”!!!既然是组策略的问题,且客户端是基于 Intune 管理的,那就要回到 Endpoint Manager 管理中心来排查。

Bitlocker_troubleshooting

        检查磁盘加密策略,在“Bitlocker - OS 驱动器设置”下找到“系统驱动器恢复” - “恢复密码创建”,确认该配置为“允许”。

intune_bitlocker_2

        这是一个典型的配置问题,为避免不必要的错误发生,我们还是需要预先阅读各选项的详细说明,了解其设计意图和使用条件。

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(2650)

HOWTO: 为 Windows Setup 程序安装指定的系统映像

[ 2021/06/06 03:47 | by gOxiA ]

WinLogo

HOWTO: 为 Windows Setup 程序安装指定的系统映像

        现在的 Windows 安装源都已经超出 4GB,当我们要通过 U盘安装时如果是针对 BIOS 设备,可以直接将 U盘格式化为 NTFS 格式,这样就能存储整个 Windows 安装源。但是如果我们面对的是 UEFI 类型设备,就必须要将 U盘格式化为 FAT32 格式才能够引导安装。而  FAT32 对单个文件的大小有 4GB 的限制,所以我们并不能将 Install.wim 拷贝到该分区上。这样一来对于普通用户来说要从 U盘来重新安装系统几乎是一件很困难的事情,而对于 IT 专业人员来说可能会借助一些第三方方案。

        其实,我们完全可以基于微软第一方工具,来实现通过 U盘执行 Windows Setup 安装系统的方案,而且完全基于 WIndows Setup 安装源和内置的工具。

        接下来,请跟随 gOxiA 的操作开始实现。首先我们准备一个 U盘,16G、32G都可,然后进入 Diskpart 为 U盘准备磁盘分区,本例在 U盘上创建了两个分区,其中一个小分区使用 FAT32 格式,存储 Windows Setup 相关引导和程序,假设盘符是 U;剩余容量创建一个 NTFS 格式分区,存储 Windows 的系统映像文件(Install.wim),假设盘符是 O。

        具体步骤就是先载入一个 Windows 安装光盘的镜像文件,通常是 ISO 格式。然后全选所有文件复制到 U盘的 U分区下,期间会如果遇到有关文件属性无法拷贝的提示可以略过,另外还会遇到无法拷贝 Install.wim 的提示,也请跳过。

        现在 U盘已经准备好了,我们可以用它来引导设备进入 Windows Setup 环境,在此环境下我们按下键盘的快捷键“Shift+F10”调出 CMD 命令提示符环境。

        然后执行如下命令行:

setup /installfrom:e:\sources\install.wim

image

        如果命令执行并成功加载 Install.wim,会显示一个类似于 WDS 环境的 Setup 程序,接下来的步骤就跟我们使用 Windows Setup 一致了,可以选择 WIM 里的 SKU,以及 UI 界面的磁盘分区格式化。

image

        Windows Setup 的命令选项还有很多,具体可参考以下微软官方文档。

https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-setup-command-line-options?view=windows-11

Windows Client | 评论(0) | 引用(0) | 阅读(2233)

HOWTO: 创建多引导选项可选择的 PE U盘

[ 2021/05/10 09:21 | by gOxiA ]

WinLogo

HOWTO: 创建多引导选项可选择的 PE U盘 

        本篇日志 gOxiA 为大家带来了干货!!!日常设备维护时,企业的 IT 人员通常会备有多个 U盘,这些 U盘上面会存储不同类型的 PE 工具盘,例如有些是企业定制化的 PE 维护工具,或是用于擦除设备磁盘的安全清理工具,还有微软 MDOP 的实力工具 - DaRT,当然也还有我们常见的不同版本的 Windows 安装盘。

        看了上面的内容就知道我们要准备多少个 U盘了,那么我们是否有办法像在硬盘上安装多个操作系统那样,在从 U盘引导启动时可以选择要启动的 PE 实例呢?!这样我们就可以在一个 U盘上实现多个工具环境的引导和使用。

        其实,完全可以借助 Windows BCD 实现我们的诉求,BCD 即  Boot Configuration Data,记录了 Windows 的引导信息,对于 PE 也依靠该引导信息来执行启动过程。本例我们将 PE 所需的文件拷贝到 U盘,然后将其他 PE 的 WIM 文件也更名保存到 Sources 目录下,之后我们使用 BCDEdit 命令编辑 PE U盘的引导信息文件,如下可以使用 BCDEdit -store 参数指定要调用的 BCD 文件,没有加其他参数的话将默认显示 BCD 内的引导信息。

image

        当前可以 BCD 中只包含了一个 PE 的引导,如果我要希望这个 BCD 能在启动时出现引导选择菜单,可以启用 DisplayBootMenu 选项,为此可执行:

bcdedit /store BCDFILE\bcd /set {bootmgr} displaybootmenu yes

        接下来,我们将基于默认的这个启动信息生成新的启动项,为此可执行:

bcdedit /store BCDFILE\bcd /copy {default} /d \"MDOP DaRT\"

        执行成功后会返回一个 GUID 值,它是对应 MDOP DaRT 启动选项的唯一标识符,后面我们需要用到。

        再查看 BCD 会发现已经多了一个启动选项,但我们还需要对其修改,以指引从正确的 WIM 文件启动,为此可执行:

bcdedit /store BCDFILE\bcd /set GUID device ramdisk=[boot]\sources\boot_drat.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}

bcdedit /store BCDFILE\bcd /set GUID osdevice ramdisk=[boot]\sources\boot_drat.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}

        至此操作结束,现在拿着 U盘在设备上启动试试吧。如果有多个 PE 要加入到启动选项,就按照上面的步骤重复执行即可。注意:对于 UEFI 设备其 BCD 位于 EFI 目录下。

Windows Client | 评论(0) | 引用(0) | 阅读(1877)
分页: 43/482 第一页 上页 38 39 40 41 42 43 44 45 46 47 下页 最后页 [ 显示模式: 摘要 | 列表 ]