Active Directory ユーザーとコンピューター ツールの BitLocker 回復パスワード ビューアーを使用して Windows Vista の回復パスワードを表示する方法

この記事では、BitLocker 回復パスワードの検索と表示に使用できるツールについて説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 928202

サービス パックがインストールされていない Windows Vista のサポートは、2010 年 4 月 13 日に終了しました。 Windows のセキュリティ更新プログラムを引き続き受け取る場合は、Service Pack 2 (SP2) で Windows Vista を実行していることを確認してください。 詳細については、「Microsoft Web ページ: 一部のバージョンの Windows でサポートが終了する」を参照してください。

概要

この記事では、Active Directory ユーザーとコンピューター ツールに BitLocker 回復パスワード ビューアーを使用する方法について説明します。 BitLocker ドライブ暗号化機能は、次のバージョンの Windows Vista に含まれるデータ保護機能です。

• Windows Vista Ultimate
• Windows Vista Enterprise

このツールを使用すると、Active Directory Domain Services (AD DS) で Windows Vista ベースのコンピューター用の BitLocker ドライブ暗号化回復パスワードを見つけるのに役立ちます。 Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) スナップインは、リモート サーバー管理者ツール (RSAT) を使用してインストールする必要があります。

概要

BitLocker 回復パスワード ビューアーを使用すると、AD DS に格納されている BitLocker 回復パスワードを見つけて表示できます。 このツールを使用すると、BitLocker を使用して暗号化されたボリュームに格納されているデータを回復できます。 BitLocker 回復パスワード ビューアー ツールは、ACTIVE DIRECTORY ユーザーとコンピューター MMC スナップインの拡張機能です。 このツールをインストールした後、コンピューター オブジェクトの [プロパティ] ダイアログ ボックスを調べて、対応する BitLocker 回復パスワードを表示できます。 さらに、ドメイン コンテナーを右クリックし、Active Directory フォレスト 内のすべてのドメイン (複数のドメイン) にわたって BitLocker 回復パスワードを検索できます。

BitLocker 回復パスワード ビューアー ツールを使用して BitLocker 回復パスワードを表示する前に、次の条件が満たされている必要があります。

• BitLocker 回復情報を格納するようにドメインを構成する必要があります。
• Windows Vista ベースのコンピューターをドメインに参加させる必要があります。
• Windows Vista ベースのコンピューターで BitLocker ドライブ暗号化が有効になっている必要があります。

Windows XP 用 BitLocker 回復パスワード ビューアー ツールを取得する方法

Windows XP/Windows Server 2003 の BitLocker 回復パスワード ビューアー ツールを入手するには、Microsoft サポート Professional にお問い合わせください。

Windows XP ベースのコンピューターに BitLocker 回復パスワード ビューアー ツールをインストールするには、最初に最新バージョンの Windows Server 2003 管理ツールをインストールする必要があります。

BitLocker 回復パスワード ビューアー ツールのインストール権限

BitLocker 回復パスワード ビューアー ツールを正常にインストールするには、インストール プログラムで Active Directory 構成データベースを更新する必要があります。 インストール プログラムは、これら 2 つの属性がまだ存在しない場合に、次の 2 つの属性を AD DS に追加します。

AD DS に対するこれらの変更は、フォレスト内のすべてのドメインに影響します。 Active Directory 構成データベースを変更するには、エンタープライズ管理者権限が必要です。 ただし、BitLocker 回復パスワード ビューアー ツールがフォレストにインストールされた後は、後で BitLocker 回復パスワード ビューアー ツールをインストールするために Active Directory 構成データベースに対する読み取りアクセス許可のみを持っている必要があります。 既定では、すべてのドメイン ユーザーは Active Directory 構成データベースの読み取りアクセス許可を持ちます。

要約すると、BitLocker 回復パスワード ビューアー ツールをインストールするには、次の権限が必要です。

• BitLocker 回復パスワード ビューアー ツールを最初にインストールするときは、エンタープライズ管理者権限が必要です。 これらの権限を使用すると、Active Directory 構成データベースを変更できます。
• 次に BitLocker 回復パスワード ビューアー ツールをインストールするときは、BitLocker 回復パスワード ビューアー ツールをインストールするコンピューターに対するローカル管理者権限と共に、ドメイン ユーザーの権限が必要です。

レジストリ情報

このツールをドメインで初めて実行する前に、エンタープライズ管理者として Windows システム フォルダーから次のコマンドを実行します。

regsvr32.exe BdeAducExt.dll

後でドメインでツールを使用する場合、Regsvr32.exe を実行する必要はありません。

インストールのトラブルシューティング情報

インストール権限は、Windows XP と Windows Vista で同じです。 次の情報を使用して、BitLocker 回復パスワード ビューアー ツールのインストール時に表示される可能性があるインストール エラー メッセージのトラブルシューティングに役立ちます。

エラー メッセージ 1

このコマンドを処理するのに十分なストレージがありません。

Windows Vista ベースのコンピューターに BitLocker 回復パスワード ビューアー ツールの Windows XP バージョンをインストールした場合、このエラー メッセージが表示されます。 Windows Vista ベースのコンピューターに Windows Vista ベースのバージョンのツールをインストールする必要があります。

エラー メッセージ 2

Windows XP を更新する権限がありません。 システム管理者に問い合わせてください。

Windows XP ベースのコンピューターに BitLocker 回復パスワード ビューアー ツールをインストールするための十分な権限がない場合は、このエラー メッセージが表示されます。 このツールをインストールするには、ローカル管理者権限が必要です。

エラー メッセージ 3

ドメイン コントローラーに接続できません。 ネットワークへの接続を持つドメイン ユーザーとしてログインする必要があります。

次のいずれかの条件に該当する場合、このエラー メッセージが表示されます。

• コンピューターがネットワークに接続されていないか、コンピューターがドメインと通信できません。
• ドメイン ユーザーとしてコンピューターにログオンしていません。

エラー メッセージ 4

このインストールを実行するためのアクセス許可がありません。 エンタープライズ管理者権限が必要です。

このエラー メッセージは、BitLocker 回復パスワード ビューアー ツールの最初のインスタンスをフォレストにインストールしようとすると表示される場合があります。 このツールを初めてインストールするには、computer-Display オブジェクトと AD DS の domainDNS-Display オブジェクトに対する読み取りおよび書き込みアクセス許可が必要です。 また、Active Directory 構成データベース内のこれらのオブジェクトの親コンテナーに対する読み取りおよび書き込みアクセス許可も必要です。 既定では、エンタープライズ管理者グループのメンバーには、これらのオブジェクトに対する読み取りおよび書き込みアクセス許可があります。

エラー メッセージ 5

エラー コードでインストールに失敗しました: 0x8007200A

このエラー メッセージは、ドメイン内の BitLocker 回復パスワード ビューアー ツールの 2 番目以降のインストールを実行しようとすると表示される場合があります。 このツールの 2 番目以降のインストールを実行するには、少なくとも computer-Display オブジェクトと AD DS の domainDNS-Display オブジェクトに対する読み取りアクセス許可が必要です。 また、Active Directory 構成データベース内のこれらのオブジェクトの親コンテナーに対する読み取りアクセス許可を少なくとも持っている必要があります。

BitLocker 回復パスワード ビューアー ツールを削除するには

BitLocker 回復ツールを削除するには、次の手順に従います。

1. [Start Run]\(実行の開始\>) をクリックし、「appwiz.cpl」と入力し、[OK] をクリックします。
2. [プログラムの追加と削除] ダイアログ ボックスで、[更新プログラムの表示] チェックボックスをクリックして選択します。
3. [現在インストールされているプログラム] の一覧で、[BitLocker 回復パスワード ビューアー ] (Active Directory ユーザーとコンピューター)>[削除] をクリックします。
4. この更新プログラムを削除すると、他のプログラムが正しく実行されない可能性があることを示すメッセージが表示された場合は、[ はい ] をクリックして、この更新プログラムの削除を確認します。

   注:

   BitLocker 回復パスワード ビューアー ツールを削除しても、他のプログラムが正しく実行されません。

5. ウィザードの残りの手順に従って、BitLocker 回復パスワード ビューアー ツールを削除します。

使用状況情報

BitLocker 回復パスワード ビューアー ツールは、MMC スナップインActive Directory ユーザーとコンピューターを拡張します。 Active Directory ユーザーとコンピューターを開始するには、[Start Run]\(実行の開始\)> をクリックし、「dsa.msc」と入力し、[OK] をクリックします。

次の情報では、BitLocker 回復パスワード ビューアー ツールを使用する方法について説明します。

コンピューターの回復パスワードを表示するには

1. Active Directory ユーザーとコンピューターで、コンピューターが配置されているコンテナーを見つけてクリックします。 たとえば、[コンピューター] コンテナー を クリックします。

   保存されたクエリを作成する方法の詳細については、次の Microsoft Web サイトを参照してください。

   保存されたクエリを作成する

2. コンピューター オブジェクトを右クリックし、[ プロパティ] をクリックします。

3. [ ComputerName のプロパティ ] ダイアログ ボックスで、[ BitLocker 回復 ] タブをクリックして、特定のコンピューターに関連付けられている BitLocker 回復パスワードを表示します。

コンピューターの回復パスワードをコピーするには

1. BitLocker 回復パスワードを表示するには、「コンピューターの回復パスワードを表示するには」セクションの手順に従います。
2. [ComputerName のプロパティ] ダイアログ ボックスの [BitLocker 回復] タブで、コピーする BitLocker 回復パスワードを右クリックし、[詳細のコピー] をクリックします。
3. コピーしたテキストをコピー先の場所に貼り付けます。

回復パスワードを見つけるには

1. Active Directory ユーザーとコンピューターでドメイン コンテナーを右クリックし、[BitLocker 回復パスワードの検索] をクリックします。

2. [ BitLocker 回復パスワードの検索 ] ダイアログ ボックスで、[ パスワード ID (最初の 8 文字)] ボックスに回復パスワードの最初の 8 文字を入力し、[ 検索] をクリックします。

   

BitLocker 回復パスワード ビューアー ツールについてよく寄せられる質問

Q1: BitLocker 回復パスワード ビューアー ツールは、暗号化されたボリュームのロック解除にどのように役立ちますか?

A1: コンピューターを BitLocker 回復画面に起動すると、Windows Vista にドライブ ラベルとパスワード ID が表示されます。 この情報を BitLocker 回復パスワード ビューアー ツールと共に使用して、AD DS に格納されている一致する BitLocker 回復パスワードを見つけることができます。

Q2: 誰でも BitLocker 回復パスワード ビューアー ツールを使用して回復パスワードを見つけることができますか?

A2: いいえ。 回復パスワードを表示するには、ドメイン管理者であるか、ドメイン管理者から委任されたアクセス許可が必要です。

十分な権限を持たないユーザーが BitLocker 回復パスワード ビューアー ツールをインストールした場合、そのユーザーはどのコンピューターの回復パスワードも見つけることができません。 また、BitLocker 回復パスワード ビューアー ツールを使用してフォレスト内のすべてのドメイン間で回復パスワードを検索すると、十分な権限を持つドメインからのみ結果が返されます。

Q3: 保存された回復パスワードが、コンピューターの [ComputerName プロパティ] ダイアログ ボックスの [BitLocker Recovery] タブに表示されない場合はどうなりますか?

A3: 通常、特定のコンピューターの BitLocker 回復パスワードは、そのコンピューターの [コンピューター名のプロパティ] ダイアログ ボックスの [BitLocker 回復] タブに表示されます。 ただし、コンピューターの名前が変更された場合は、正しいコンピューターが見つからない可能性があります。 これは、ドライブ ラベル情報に元のコンピューター名がまだ含まれているためです。 このような場合は、パスワード ID 情報を使用して回復パスワードを検索する必要があります。

Q4: 回復パスワードの場所を検索するために使用されるパスワード ID の最初の 8 文字だけがなぜですか?

A4: これは、検索操作の精度を損なうことなく、回復パスワードの検索を簡略化することを目的とした設計上の決定です。 100 万を超えるパスワード ID をランダムに生成したテストでは、通常、パスワード ID の最初の 8 文字に対して 100 個の重複しか生成されません。 そのため、検索ドメインに 100 万の回復パスワードがある場合でも、1 回の検索操作で 2 つの回復パスワードが返される可能性は低くなります。 さらに、同じ検索で 2 つ以上の回復パスワードが返される可能性はさらに低くなります。

Q5: すべてのドメインで回復パスワードを検索するのにどのくらいの時間がかかりますか?

A5: 一般に、フォレストのすべてのドメインでパスワード ID を検索するのに数秒以上かかります。 ただし、次の条件に該当する場合は、パフォーマンスが低下する可能性があります。

• グローバル カタログ サーバーは、ドメイン内の回復パスワードを見つけます。
• グローバル カタログ サーバーは、その特定のドメインに接続できません。

Q6: 操作方法、BitLocker 回復パスワード ビューアー ツールを使用するときに発生する可能性がある問題のトラブルシューティングを行います。

A6: BitLocker 回復パスワード ビューアー ツールを使用するときに発生する問題のトラブルシューティングに役立つ次の情報を使用します。

• 回復パスワードが見つからない場合は、回復パスワードを表示するための十分な権限があることを確認します。
• 回復パスワードを検索するときに "回復パスワード情報を取得できません" というエラー メッセージが表示される場合は、グローバル カタログ サーバーとその他のドメイン コントローラーが正しく通信できることを確認します。

BitLocker 修復ツールの詳細については、次の Microsoft Web サイトを参照してください。

928201 BitLocker 修復ツールを使用して、Windows Vista または Windows Server 2008 で暗号化されたボリュームからデータを回復する方法