Использование средства просмотра паролей восстановления BitLocker для оснастки "Active Directory -- пользователи и компьютеры" для просмотра паролей восстановления для Windows Vista

Переводы статьи Переводы статьи
Код статьи: 928202 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В статье описано использование средства просмотра паролей восстановления BitLocker для оснастки "Active Directory -- пользователи и компьютеры". Функция шифрования диска BitLocker является функцией защиты данных, включенной в следующие версии Windows Vista:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
Используйте это средство для поиска паролей восстановления BitLocker в доменных службах Active Directory (AD DS) на компьютерах под управлением Windows Vista.

Оснастка "Active Directory -- пользователи и компьютеры" консоли управления Майкрософт (MMC) в настоящее время недоступна для системы Windows Vista. Следовательно, пока эта оснастка недоступна, необходимо использовать средство просмотра паролей восстановления BitLocker на компьютерах под управлением Microsoft Windows XP или на компьютерах под управлением Microsoft Windows Server 2003.

Примечание. Чтобы использовать данное средства для попытки получить пароли шифрования диска BitLocker, ваша учетная запись должна иметь необходимые права. Вы должны быть администратором домена, или такие права должны быть выданы вам администратором домена.

Общие сведения

Средство просмотра паролей восстановления BitLocker позволяет найти и просмотреть пароли восстановления BitLocker, хранящиеся в AD DS. Можно использовать это средство для восстановления данных, хранящихся на томе, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker является расширением для оснастки MMC "Active Directory -- пользователи и компьютеры". После установки этого средства можно использовать диалоговое окно «Свойства» всех компьютерных объектов для просмотра соответствующих паролей восстановления BitLocker. Кроме того, можно щелкнуть контейнер домена правой кнопкой мыши и запустить поиск пароля восстановления BitLocker во всех доменах леса Active Directory.

Перед использованием средства просмотра паролей восстановления BitLocker для просмотра паролей восстановления BitLocker должны быть выполнены следующие условия.
  • Домен должен быть настроен для хранения восстановительной информации BitLocker.
  • Компьютеры, работающие под управлением Windows Vista, должны быть объединены в домен.
  • Программа BitLocker Drive Encryption должна быть включена на компьютерах, работающих под управлением Windows Vista.
Для получения дополнительных сведениях о настройке BitLocker посетите следующий веб-узел корпорации Майкрософт:
http://windowshelp.microsoft.com/Windows/ru-ru/Help/86136f63-2f2f-40ad-a0d1-8293f4dbfc951049.mspx

http://technet2.microsoft.com/WindowsVista/en/library/c61f2a12-8ae6-4957-b031-97b4d762cf311033.mspx
Также рекомендуется ознакомиться с тем, как BitLocker использует пароли восстановления для разблокирования зашифрованного тома. Для получения дополнительных сведений об использовании BitLocker посетите следующий веб-узел корпорации Майкрософт:
http://technet.microsoft.com/en-us/windowsvista/aa906017.aspx

Как получить средство просмотра паролей восстановления BitLocker

Если у вас есть учетная запись уровня Premier в службе поддержки корпорации Майкрософт, посетите веб-узел Premier Online корпорации Майкрософт для получения средства:
https://premier.microsoft.com/troubleshoot.aspx?taid=tools
Также можно получить средство, связавшись со службой технической поддержки корпорации Майкрософт. Позвоните по телефонуTelephone (800) 936-5700 для разговора с техническим специалистом, который отправит средство вам. Для получения полного списка телефонов службы поддержки, обратитесь к следующему веб-узлу корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=support

Дополнительная информация

Установка средства просмотра паролей восстановления BitLocker

Установить средство просмотра паролей восстановления BitLocker можно только на компьютер под управлением Windows XP с пакетом обновления 2 (SP2) или под управлением Windows Server 2003. Оснастка MMC "Active Directory -- пользователи и компьютеры" для системы Windows Vista пока еще недоступна.

Необходимые условия для установки средства просмотра паролей восстановления BitLocker на Windows XP

Для установки средства просмотра паролей восстановления BitLocker на компьютер под управлением Windows XP сперва необходимо установить последнюю версию административных средств для Windows Server 2003. Для получения этой программы посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en

Права для установки средства просмотра паролей восстановления BitLocker

Для успешной установки средства просмотра паролей восстановления BitLocker программа установки должна обновить базу данных настроек Active Directory.
Программа установки добавляет в AD DS следующих два атрибута, если их там еще нет.
Свернуть эту таблицуРазвернуть эту таблицу
Тип объектаЗначение объекта
ОбъектCN=computer-Display
КонтейнерCN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com
Имя атрибутаadminPropertyPages
Значение атрибутаИдентификатор GUID средства просмотра паролей
Свернуть эту таблицуРазвернуть эту таблицу
Тип объектаЗначение объекта
ОбъектCN=domainDNS-Display
КонтейнерCN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com
Имя атрибутаadminContextMenu
Значение атрибутаИдентификатор GUID средства просмотра паролей
Примечание. В эти таблицах используются следующие значения.
  • Идентификатор GUID средства просмотра паролей 2FB1B669-59EA-4F64-B728-05309F2C11C8.
  • LanguageID для английского языка равен 409. Программа установки обновляет все идентификаторы языка, чтобы разрешить возможность запуска средства просмотра паролей восстановления BitLocker со всеми возможными языками.
Эти изменения AD DS влияют на все домены в лесу. Вы должны иметь права администратора предприятия для изменения базы данных настроек Active Directory. В то же время после установки средства просмотра паролей восстановления BitLocker в лес для последующих установок средства просмотра паролей восстановления BitLocker вам потребуется только право на чтение базы данных настроек Active Directory. По умолчанию все пользователи домена имеют такое право.

Итак, для установки средства просмотра паролей восстановления BitLocker необходимы следующие права.
  • Для первой установки средства просмотра паролей восстановления BitLocker нужны права администратора предприятия. Это право даст вам возможность изменения базы данных настроек Active Directory.
  • При следующей установке средства просмотра паролей восстановления BitLocker необходимо иметь права пользователя домена и права администратора на том компьютере, на который вы устанавливаете средство просмотра паролей восстановления BitLocker.

Сведения об устранении неполадок при установке

Используйте следующую информацию для устранения неполадок при возникновении сообщений об ошибках во время установки средства просмотра паролей восстановления BitLocker.

Сообщение об ошибке 1
Недостаточно места для выполнения команды.
Сообщение об ошибке появляется при установке средства просмотра паролей восстановления BitLocker на компьютер под управлением Windows Vista. В настоящее время средство просмотра паролей восстановления BitLocker поддерживается только системами Windows Server 2003 или Windows XP.

Сообщение об ошибке 2
Отсутствует полномочие для обновления Windows XP. Обратитесь к системному администратору.
Сообщение об ошибке получено из-за недостатка прав для установки средства просмотра паролей восстановления BitLocker. Вам необходимы права администратора для установки данного средства.

Сообщение об ошибке 3
Не удается подключиться к контроллеру домена. Вы должны войти в систему как пользователь домена с подключением к сети.
Такое сообщение об ошибке может появляться в случае выполнения одного из следующих условий.
  • Компьютер не подключен к сети или не может связаться с доменом.
  • Вы не вошли в систему на компьютере как пользователь домена.
Сообщение об ошибке 4
Отсутствуют полномочия на выполнение этой установки. Требуются права администратора предприятия.
Сообщение об ошибке появляется при попытке впервые установить средство просмотра паролей восстановления BitLocker в лес. Для первой установки средства вам необходимы права на чтение и запись объектов computer-Display и domainDNS-Display в AD DS. Также необходимы права на чтение и запись родительских контейнеров этих объектов в базе данных настроек Active Directory. По умолчанию члены группы администраторов предприятия имеют такие права.

Сообщение об ошибке 5
Установка завершилась с кодом ошибки 0x8007200A
Сообщение об ошибке появляется при второй и последующих попытках установить средство просмотра паролей восстановления BitLocker в домен. Для второй и последующих установок средства вам необходимы права на чтение объектов computer-Display и domainDNS-Display в AD DS. Также необходимы права на чтение родительских контейнеров этих объектов в базе данных настроек Active Directory.

Для удаления средства просмотра паролей восстановления BitLocker выполните следующие действия

  1. Выберите в меню Пуск пункт Выполнить, введите команду appwiz.cpl и нажмите кнопку ОК.
  2. В диалоговом окне Добавление или удаление программ установите флажок Показывать обновления.
  3. В списке Установленные программы выберите BitLocker Recovery Password Viewer (for Active Directory Users and Computers), а затем Удалить.
  4. Если вы получите сообщение о том, что некоторые программы могут работать неправильно после удаления обновления, нажмите кнопку Да для подтверждения удаления обновления.

    Примечание. Удаление средства BitLocker Recovery Password Viewer не помешает другим программам запускаться правильно.
  5. Выполните остальные действия мастера для удаления средства просмотра паролей восстановления BitLocker.

Использование

Средство просмотра паролей восстановления BitLocker расширяет возможности оснастки MMC "Active Directory -- пользователи и компьютеры". Для запуска оснастки "Active Directory -- пользователи и компьютеры" нажмите кнопку Пуск, выберите Выполнить, введите dsa.msc, а затем нажмите кнопку OK.

Ниже описано использование средства просмотра паролей восстановления BitLocker.

Для просмотра паролей восстановления на компьютере выполните следующие действия.

  1. В оснастке "Active Directory -- пользователи и компьютеры" найдите и выделите контейнер, который содержит нужный компьютер. Например, выделите контейнер Computers.

    Для получения дополнительных сведений о нахождении учетной записи компьютера посетите следующий веб-узел корпорации Майкрософт:
    http://technet2.microsoft.com/WindowsServer/f/?en/library/17894c7c-45dd-47de-80a6-c4638f03b5a31033.mspx
    Для получения дополнительных сведений о создании сохраненного запроса посетите следующий веб-узел корпорации Майкрософт:
    http://technet2.microsoft.com/WindowsServer/f/?en/library/345d8be1-2a04-45e2-b937-4b5d0453e5c11033.mspx
  2. Щелкните объект компьютера правой кнопкой мыши и выберите пункт Свойства.
  3. В диалоговом окне ИмяКомпьютера - Свойства выберите вкладку Восстановление BitLocker для просмотра паролей восстановления, связанных с определенным компьютером.

Для копирования паролей восстановления для компьютера выполните следующие действия.

  1. Выполните действия в разделе «Для просмотра паролей восстановления для компьютере выполните следующие действия» для просмотра паролей восстановления BitLocker.
  2. На вкладке Восстановление BitLocker диалогового окна ИмяКомпьютера - Свойства щелкните правой кнопкой мыши пароль восстановления BitLocker, который нужно копировать, а затем Копировать подробности.
  3. Вставьте скопированный текст в место назначения.

Для поиска пароля восстановления выполните следующие действия.

  1. В оснастке "Active Directory -- пользователи и компьютеры" щелкните правой кнопкой мыши контейнер домена, а затем выберите Найти пароль восстановления BitLocker.
  2. В диалоговом окне Найти пароль восстановления BitLocker введите первые восемь символов пароля восстановления в поле Идентификатор пароля (первые восемь символов) и нажмите кнопку Поиск.
Свернуть это изображениеРазвернуть это изображение
Изображение команды «Найти пароль восстановления BitLocker» в оснастке "Active Directory -- пользователи и компьютеры"

Часто задаваемые вопросы о средстве просмотра паролей восстановления BitLocker

Вопрос 1. Как может средство просмотра паролей восстановления BitLocker помочь разблокировать зашифрованный том?

Ответ 1. После запуска компьютера до экрана восстановления BitLocker система Windows Vista предоставляет вам метку устройства и идентификатор пароля. Вы можете использовать эту информацию совместно со средством просмотра паролей восстановления BitLocker для нахождения подходящего пароля восстановления BitLocker, хранящегося в AD DS.

Вопрос 2. Может ли кто-нибудь еще использовать средство просмотра паролей восстановления BitLocker для нахождения пароля восстановления?

Ответ 2. Нет. Для просмотра паролей восстановления вы должны быть администратором домена или получить права от администратора домена.

Если пользователь не имеет достаточно прав для установки средства просмотра паролей восстановления BitLocker, то он пользователь не сможет найти пароль восстановления ни для одного компьютера. Кроме того, если вы используете средство просмотра паролей восстановления BitLocker для поиска пароля восстановления среди всех доменов в лесу, результат может быть получен только от тех деменов, в которых вы имеете необходимые права.

Примечание. Средство просмотра паролей восстановления BitLocker не может отличить ситуацию, в которой пароля восстановления попросту не существует для данного компьютера, и ситуацию, в которой вы не имеете достаточно прав для просмотра пароля восстановления для того же компьютера.

Вопрос 3. Что если пароль восстановления не появится на вкладке «Восстановление BitLocker» диалогового окна «ИмяКомпьютера - Свойства»?

Ответ 3. Обычно пароль восстановления BitLocker для определенного компьютера появляется на вкладке Восстановление BitLocker диалогового окна ИмяКомпьютера - Свойства для этого компьютера. Однако, если компьютер переименован, то может получиться так, что вы не сможете найти правильный компьютер. Это происходит потому, что метка информации устройства содержит оригинальное имя компьютера. В этой ситуации для поиска пароля восстановления понадобится использовать информацию об идентификаторе пароля.

Вопрос 4. Почему только первые восемь символов идентификатора пароля используются для поиска пароля восстановления?

Ответ 4. Это решение было принято для упрощения поиска пароля восстановления без потери точности поиска. При проведении тестов было случайным образом создано более миллиона идентификаторов паролей, из них всего около ста дублировались в первых восьми символах. Поэтому, даже если в домене содержится один миллион паролей восстановления, маловероятно, что для единичной операции поиска будет возвращено два пароля восстановления. Более того, это даже более невероятно, чем возврат более двух паролей восстановления для того же поиска.

Примечание. Мы рекомендуем вам проверять возвращаемые пароли восстановления, чтобы быть уверенными, что он полностью совпадает с идентификатором пароля, который вы используете для выполнения поиска. Это проверка уникальности полученного пароля восстановления.

Вопрос 5. Сколько времени занимает поиск пароля восстановления по всем доменам?

Ответ 5. Обычно поиск идентификатора пароля по всем доменам в лесу занимает несколько секунд. Хотя при выполнении ряда условий может наблюдаться уменьшение производительности. Эти условия таковы.
  • Сервер глобального каталога ищет пароль восстановления в домене.
  • Сервер глобального каталога не может подключиться к нужному домену.
Вопрос 6. Как исправить неполадки, которые могут возникнуть во время использования средства просмотра паролей восстановления BitLocker?

Ответ 6. Для справки при исправлении неполадок, возникающих при использовании средства просмотра паролей восстановления BitLocker, используйте следующие сведения.
  • Если вы не можете найти пароль восстановления, проверьте, достаточно ли у вас прав для просмотра паролей восстановления.
  • Если появилось сообщение об ошибке «Не могу получить информацию о пароле восстановления» во время поиска пароля восстановления, проверьте, чтобы сервер глобального каталога и другие контроллеры домена могли осуществлять связь друг с другом без проблем.

Свойства

Код статьи: 928202 - Последний отзыв: 23 апреля 2008 г. - Revision: 3.2
Информация в данной статье относится к следующим продуктам.
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Enterprise 64-bit edition
Ключевые слова: 
kbhowto kbinfo KB928202

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com