微软企业级加解密解决方案MBAM组策略模板配置
2017-05-17 13:52
615 查看
若要部署 MBAM,您必须设置定义 MBAM BitLocker 驱动器加密的实现设置的组策略设置。若要完成此任务,必须将 MBAM 组策略模板复制到服务器或工作站上可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM),然后编辑设置。
重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行。MDOP MBAM (BitLocker 管理)节点中配置的组策略设置,当 MBAM 自动配置为您的BitLocker 驱动器加密设置。
在Windows Server 2008 R2的域控环境中,对Bitlocker和MBAM的组策略会比Windows 10中看到的策略数目少一些,为了补充确实的这一部份,因此需要先讲08R2的域控架构升级到2012R2,再把Windows 10的组策略模板信息复制一份进08R2域控的组策略集合中。就会看到如下新增的组策略:
复制 MBAM 2.5 组策略模板
安装 MBAM 客户端之前,您必须复制到管理工作站的 MBAM 特定组策略对象 (Gpo)。这些 Gpo 定义 MBAM BitLocker 驱动器加密实现设置。您可以将组策略模板复制到任何服务器或工作站支持的基于 Windows 的服务器或客户端计算机,并可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM)。
有关详细信息,请参阅复制 MBAM 2.5 组策略模板。
编辑 MBAM 2.5 GPO 设置
创建必要的 Gpo 后,您必须向您组织的客户端计算机部署 MBAM 组策略设置。若要查看和创建 Gpo,必须具有组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM) 安装。
有关的详细信息,请参阅编辑 MBAM 2.5 组策略设置和规划 MBAM 2.5 组策略要求。
常用的设置如下:
允许没有TPM芯片也可以操作系统盘加密:
启用上面这条操作系统加密设置以后,会自动启用下图红色框住部份,如果环境没有Vista那么可以改成未配置
可以强制执行加密策略
强制延迟时间没到期时是:
到期时是:
失败是因为我的环境是在Hyper-V上搭建的一台Windows 8.1采用的是动态磁盘格式,在下面的日志中可以看到:
虚拟机是不支持利用MBAM代理进行加密的。因此在虚拟机中测试需要自己手动启动bitlocker加密,启用后重启需要在进入Windows系统前验证一次Bitlocker密码,输入正确到桌面就开始加密了:
加密完成后用户也可以重置密码:
为没有TPM芯片启用Bitlocker
如果配置了请求例外,那么会在弹出加密框多出“请求例外”
如果我在组策略中启用了移动存储介质的安全加密访问策略那么会是怎样的呢?
那么当客户端插入U盘后会出现:
如果我们不对该U盘加密,那么该U盘的数据我们只能读取但不能写入和修改了
哪怕从U盘新建也是不行的,只能读取:
修改了文件保存会报错:
重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行。MDOP MBAM (BitLocker 管理)节点中配置的组策略设置,当 MBAM 自动配置为您的BitLocker 驱动器加密设置。
在Windows Server 2008 R2的域控环境中,对Bitlocker和MBAM的组策略会比Windows 10中看到的策略数目少一些,为了补充确实的这一部份,因此需要先讲08R2的域控架构升级到2012R2,再把Windows 10的组策略模板信息复制一份进08R2域控的组策略集合中。就会看到如下新增的组策略:
复制 MBAM 2.5 组策略模板
安装 MBAM 客户端之前,您必须复制到管理工作站的 MBAM 特定组策略对象 (Gpo)。这些 Gpo 定义 MBAM BitLocker 驱动器加密实现设置。您可以将组策略模板复制到任何服务器或工作站支持的基于 Windows 的服务器或客户端计算机,并可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM)。
有关详细信息,请参阅复制 MBAM 2.5 组策略模板。
编辑 MBAM 2.5 GPO 设置
创建必要的 Gpo 后,您必须向您组织的客户端计算机部署 MBAM 组策略设置。若要查看和创建 Gpo,必须具有组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM) 安装。
有关的详细信息,请参阅编辑 MBAM 2.5 组策略设置和规划 MBAM 2.5 组策略要求。
常用的设置如下:
允许没有TPM芯片也可以操作系统盘加密:
启用上面这条操作系统加密设置以后,会自动启用下图红色框住部份,如果环境没有Vista那么可以改成未配置
可以强制执行加密策略
强制延迟时间没到期时是:
到期时是:
失败是因为我的环境是在Hyper-V上搭建的一台Windows 8.1采用的是动态磁盘格式,在下面的日志中可以看到:
虚拟机是不支持利用MBAM代理进行加密的。因此在虚拟机中测试需要自己手动启动bitlocker加密,启用后重启需要在进入Windows系统前验证一次Bitlocker密码,输入正确到桌面就开始加密了:
加密完成后用户也可以重置密码:
为没有TPM芯片启用Bitlocker
如果配置了请求例外,那么会在弹出加密框多出“请求例外”
如果我在组策略中启用了移动存储介质的安全加密访问策略那么会是怎样的呢?
那么当客户端插入U盘后会出现:
如果我们不对该U盘加密,那么该U盘的数据我们只能读取但不能写入和修改了
哪怕从U盘新建也是不行的,只能读取:
修改了文件保存会报错:
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 微软企业级加解密解决方案MBAM利用门户查询恢复密码(用户自助和管理门户)
- 微软企业级加解密解决方案MBAM管理和监控服务器部署准备
- 微软企业级加解密解决方案MBAM用户和组
- 微软企业级加解密解决方案MBAM架构 推荐
- 微软企业级加解密解决方案MBAM管理和监控服务器部署
- 微软企业级加解密解决方案MBAM客户端部署
- 微软企业级加解密解决方案MBAM数据库部署
- 微软企业库配置工具安装源码后无法打开的解决方案
- windows 2008 +iis7.0或windows 7+iis 7.5 下用微软的URLRewriter组件下配置伪静态完美解决方案!!
- atlas和ajaxpro以及微软企业级类库在一起得web配置文件
- windows 2008 +iis7.0或windows 7+iis 7.5 下用微软的URLRewriter组件下配置伪静态完美解决方案!!
- 微软.NET企业级架构解决方案:什么是UML
- 大数据Spark “蘑菇云”行动第99课:Hive性能调优之企业级Mapper和Reducer调优深度细节解密 参数配置
- Java日志记录框架Logback配置详解(企业级应用解决方案)
- 微软的故乡戴尔的云【我身边的戴尔企业级解决方案】
- 收购数据库厂商 微软挺进企业级数据库解决方案
- 合理配置,性能最大化【我身边的戴尔企业级解决方案】
- 微软高级软件研发主管研修计划(Architect 2000)之:解决方案的设计之解决方案的构思
- 微软解决方案架构(模块十)
- 微软解决方案架构(模块八)