diddi85 0 Geschrieben 26. März 2014 Melden Teilen Geschrieben 26. März 2014 Moin Moin, ich habe vor bei uns bestehende Win8.1 Clients mit BitLocker zu Verschlüsseln. Dazu möchte ich das die GUI für die Verschlüsselung an bestehenden Clients startet. Sobald man Adminrechte hat, geht es auch ohne Probleme, nur normale User bekommen das nicht. Dies soll durch eine kleine batch passieren. Ich schaffe es die UAC zu umgehen, später wird mir aber der Zugriff aber verweigert. Ich habe es auch mit run as versucht, allerdings gelingt es mir da nicht das Programm als Admin zu starten. Hier mal die Batch ohne run as. set __compat_layer=runasinvoker c:\Windows\System32\BitLockerWizardElev.exe \ t set set __compat_layer= Hat jemand ne Idee oder nen anderen Vorschlag? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 26. März 2014 Melden Teilen Geschrieben 26. März 2014 Wieso sollten normale User die Bitlocker Gui starten? Zitieren Link zu diesem Kommentar
diddi85 0 Geschrieben 26. März 2014 Autor Melden Teilen Geschrieben 26. März 2014 Die sollen ja nur die Initialverschlüsselung so starten können. Ich möchte nicht auf jeden Client mich auf schalten und dies für sie machen. BitLocker per manage-bde zu aktivieren ist auch nicht in unserem sinne Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 26. März 2014 Melden Teilen Geschrieben 26. März 2014 Wie willst Du denn runas realisieren, ohne das Admin-Passwort zu speichern? Ich würde dafür eine geplante Aufgabe nehmen. Aber warum machst Du das nicht im Script gleich automatisiert? Siehe http://blogs.technet.com/b/deploymentguys/archive/2013/01/17/windows-8-bitlocker-deployment-and-powershell.aspx Denkst Du auch an die Recovery-Keys? Backup im AD? Have fun!Daniel Zitieren Link zu diesem Kommentar
diddi85 0 Geschrieben 27. März 2014 Autor Melden Teilen Geschrieben 27. März 2014 Guten Morgen. Danke für das Deployment haben wir schon eine Lösung. Nur sollen Clients die schon Installiert sind, aber noch nicht Verschlüsselt, dazu geholt werden. Die Vorgaben wie Recovery-Keys, TPM + PIN usw gebe ich via GPO vor. Wenn ich das über das Script mache, erstelle ich es erst auf dem PC und muss es dann in das AD bringen. Wenn ich aber die GUI zum starten bekomme, ist es für den User vor Ort einfacher. Er muss nur noch die PIN eingeben und Fertig. Ich habe es auch schon als batch mit Manage-bde soweit fertig. Aber dann gibt der User in das comandline Fenster den PIN ein. Dies ist aber nicht erwünscht (Chefs :/) mfg diddi Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 27. März 2014 Melden Teilen Geschrieben 27. März 2014 (bearbeitet) Hast Du es denn jetzt mit dem Aufgabenplaner probiert? Damit kannst Du Programme mit Admin-Rechten starten, die auf dem Desktop zu sehen sind. Du kannst aber auch die Festplatte schon beim Aufsetzen des PCs oder nachträglich automatisiert per Script mit einer Standard-PIN verschlüsseln und dann den User auffordern, die PIN zu ändern: http://fbinotto.blogspot.de/2012/06/powershell-set-bitlocker-pin-only-if.html und http://itminutes.net/?p=978. Seit Windows 8 kann nämlich auch ein Standarduser die PIN ändern: Alternativ schau Dir mal MBAM an (Microsoft BitLocker Administration & Monitoring). Have fun!Daniel bearbeitet 27. März 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.