diddi85 0 Geschrieben 26. März 2014 Melden Geschrieben 26. März 2014 Moin Moin, ich habe vor bei uns bestehende Win8.1 Clients mit BitLocker zu Verschlüsseln. Dazu möchte ich das die GUI für die Verschlüsselung an bestehenden Clients startet. Sobald man Adminrechte hat, geht es auch ohne Probleme, nur normale User bekommen das nicht. Dies soll durch eine kleine batch passieren. Ich schaffe es die UAC zu umgehen, später wird mir aber der Zugriff aber verweigert. Ich habe es auch mit run as versucht, allerdings gelingt es mir da nicht das Programm als Admin zu starten. Hier mal die Batch ohne run as. set __compat_layer=runasinvoker c:\Windows\System32\BitLockerWizardElev.exe \ t set set __compat_layer= Hat jemand ne Idee oder nen anderen Vorschlag?
Dukel 468 Geschrieben 26. März 2014 Melden Geschrieben 26. März 2014 Wieso sollten normale User die Bitlocker Gui starten?
diddi85 0 Geschrieben 26. März 2014 Autor Melden Geschrieben 26. März 2014 Die sollen ja nur die Initialverschlüsselung so starten können. Ich möchte nicht auf jeden Client mich auf schalten und dies für sie machen. BitLocker per manage-bde zu aktivieren ist auch nicht in unserem sinne
Daniel -MSFT- 129 Geschrieben 26. März 2014 Melden Geschrieben 26. März 2014 Wie willst Du denn runas realisieren, ohne das Admin-Passwort zu speichern? Ich würde dafür eine geplante Aufgabe nehmen. Aber warum machst Du das nicht im Script gleich automatisiert? Siehe http://blogs.technet.com/b/deploymentguys/archive/2013/01/17/windows-8-bitlocker-deployment-and-powershell.aspx Denkst Du auch an die Recovery-Keys? Backup im AD? Have fun!Daniel
diddi85 0 Geschrieben 27. März 2014 Autor Melden Geschrieben 27. März 2014 Guten Morgen. Danke für das Deployment haben wir schon eine Lösung. Nur sollen Clients die schon Installiert sind, aber noch nicht Verschlüsselt, dazu geholt werden. Die Vorgaben wie Recovery-Keys, TPM + PIN usw gebe ich via GPO vor. Wenn ich das über das Script mache, erstelle ich es erst auf dem PC und muss es dann in das AD bringen. Wenn ich aber die GUI zum starten bekomme, ist es für den User vor Ort einfacher. Er muss nur noch die PIN eingeben und Fertig. Ich habe es auch schon als batch mit Manage-bde soweit fertig. Aber dann gibt der User in das comandline Fenster den PIN ein. Dies ist aber nicht erwünscht (Chefs :/) mfg diddi
Daniel -MSFT- 129 Geschrieben 27. März 2014 Melden Geschrieben 27. März 2014 (bearbeitet) Hast Du es denn jetzt mit dem Aufgabenplaner probiert? Damit kannst Du Programme mit Admin-Rechten starten, die auf dem Desktop zu sehen sind. Du kannst aber auch die Festplatte schon beim Aufsetzen des PCs oder nachträglich automatisiert per Script mit einer Standard-PIN verschlüsseln und dann den User auffordern, die PIN zu ändern: http://fbinotto.blogspot.de/2012/06/powershell-set-bitlocker-pin-only-if.html und http://itminutes.net/?p=978. Seit Windows 8 kann nämlich auch ein Standarduser die PIN ändern: Alternativ schau Dir mal MBAM an (Microsoft BitLocker Administration & Monitoring). Have fun!Daniel bearbeitet 27. März 2014 von Daniel -MSFT-
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden