Welche GPO kann die BitLocker PIN in AD eintragen?

Question

Welche GPO kann die BitLocker PIN in AD eintragen?

Antwort

Verwandte Fragen

Wie verhindere ich, dass Windows 11 automatisch in den Energiesparmodus wechselt, per GPO?

Powershellskript Rechte eines AD-Benutzerkontos auslesen?

Accepted Answer

Um die BitLocker-PIN in Active Directory (AD) zu speichern, muss eine Gruppenrichtlinie (Group Policy Object, GPO) konfiguriert werden. Die spezifische GPO, die dafür zuständig ist, heißt "BitLocker-Laufwerkverschlüsselung: BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste speichern". Hier sind die Schritte zur Konfiguration: 1. Öffne die Gruppenrichtlinienverwaltungskonsole (GPMC). 2. Erstelle eine neue GPO oder bearbeite eine bestehende GPO. 3. Navigiere zu folgendem Pfad: **Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung**. 4. Wähle den Unterordner für den gewünschten Laufwerkstyp (Betriebssystemlaufwerke, feste Datenlaufwerke oder Wechseldatenträger). 5. Aktiviere die Richtlinie **"BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste speichern"**. 6. Konfiguriere die Richtlinie so, dass die BitLocker-Wiederherstellungsinformationen (einschließlich der PIN) in AD gespeichert werden. Weitere Informationen zur Konfiguration von BitLocker und AD findest du in der offiziellen Microsoft-Dokumentation: [BitLocker Group Policy Settings](https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings).

Accepted Answer

Um zu verhindern, dass Windows 11 automatisch in den Energiesparmodus wechselt, kannst du dies zentral über Gruppenrichtlinien (GPO) steuern. Die relevanten Einstellungen findest in den Gruppenri... [mehr]

Accepted Answer

Um zu verhindern, dass Windows 11 automatisch in den Energiesparmodus wechselt, kannst du dies zentral über Gruppenrichtlinien (GPO) steuern. Die relevanten Einstellungen findest in den Gruppenrichtlinien unter: **Computerkonfiguration** → **Richtlinien** → **Administrative Vorlagen** → **System** → **Energieverwaltung** → **Energieeinstellungen für Windows-Betriebssysteme** Dort gibt es folgende relevante Richtlinien: - **Energieeinstellungen für Netzbetrieb: Standbymodus nach (Minuten)** - **Energieeinstellungen für Akkubetrieb: Standbymodus nach (Minuten)** **So gehst du vor:** 1. Öffne den Gruppenrichtlinien-Editor (gpedit.msc für lokale Richtlinien oder Gruppenrichtlinienverwaltung für Domänenrichtlinien). 2. Navigiere zu den oben genannten Pfaden. 3. Aktiviere die Richtlinie und setze den Wert auf **0** Minuten. Das bedeutet, dass der Standbymodus nie automatisch aktiviert wird. 4. Alternativ kannst du die Richtlinie **Standbymodus deaktivieren** aktivieren, falls verfügbar. **Wichtig:** Diese Einstellungen verhindern nur das automatische Wechseln in den Energiesparmodus. Ein manueller Wechsel (z.B. per PowerShell-Befehl oder Benutzeraktion) bleibt weiterhin möglich. **Weitere Hinweise:** - Nach dem Setzen der GPO kann es nötig sein, die Richtlinien auf den Clients mit `gpupdate /force` zu aktualisieren. - Die Einstellungen gelten für alle Benutzer auf dem jeweiligen Computer, sofern sie als Computerrichtlinie gesetzt werden. **Microsoft-Dokumentation:** [Gruppenrichtlinieneinstellungen für Energieverwaltung](https://learn.microsoft.com/de-de/windows/client-management/mdm/policy-csp-power) Damit verhinderst du zuverlässig, dass Windows 11 automatisch in den Energiesparmodus wechselt, während manuelles Auslösen (z.B. per PowerShell) weiterhin möglich bleibt.

Accepted Answer

Um die Rechte eines Active Directory (AD) Benutzerkontos mit PowerShell auszulesen, kannst du das Cmdlet `Get-ADUser` in Kombination mit `Get-ACL` verwenden. Hier ist ein einfaches Beispiel, wie du di... [mehr]

Accepted Answer

Um die Rechte eines Active Directory (AD) Benutzerkontos mit PowerShell auszulesen, kannst du das Cmdlet `Get-ADUser` in Kombination mit `Get-ACL` verwenden. Hier ist ein einfaches Beispiel, wie du dies tun kannst: ```powershell # Importiere das Active Directory Modul Import-Module ActiveDirectory # Setze den Benutzernamen des AD-Kontos $benutzername = "deinBenutzername" # Hole die Benutzerinformationen $benutzer = Get-ADUser -Identity $benutzername -Properties * # Hole die Berechtigungen des Benutzerkontos $berechtigungen = Get-Acl "AD:$($benutzer.DistinguishedName)" # Ausgabe der Berechtigungen $berechtigungen.Access | Where-Object { $_.IdentityReference -eq $benutzer.SamAccountName } ``` Stelle sicher, dass du die erforderlichen Berechtigungen hast, um auf die AD-Daten zuzugreifen, und dass das Active Directory-Modul installiert ist. Dieses Skript gibt die spezifischen Berechtigungen des angegebenen Benutzers im Active Directory aus.